Question

Можно ли отфильтровать ключевое слово в поле сообщения? Например, это журнал: «сессия открыта для пользователя root с помощью (uid = 0)» -> И я хочу создать новое поле для хранения таких данных, как «root», я хочу фильтровать имя пользователя, когда кто-то входит в систему. У вас есть идея или плагин для решения моих проблем? Спасибо за внимание.

Julien Poulin · Answer 1 · 06 июня 2019

Вы можете использовать плагин фильтра grok , чтобы извлечь имя пользователя и идентификатор, например:

filter {
  grok {
    match => { "message" => "session opened for user %{USERNAME:user_name} by \(uid=%{NONNEGINT:user_id}\)" }
  }
}

Как я могу отфильтровать ключевое слово в поле сообщения logstash в новом поле

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как я могу отфильтровать ключевое слово в поле сообщения logstash в новом поле

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы