У нас есть журналы Windows AD, которые мы отправляем в ElasticSearch (winlogbeat->fluentd->Elasticsearch).
Можно ли добавить дополнительное поле в fluentd на основе регулярного выражения другого поля?
Что я хочуделать:
Если у меня есть поле event_data.TargetUserName=PC-NAME$ -> Я добавляю поле event_data.logonType=Computer
Если у меня есть поле event_data.TargetUserName=Username -> Я добавляю поле event_data.logonType=Human
А затем отправьте его в Elasticserach.
Один трюк - это регулярное выражение данных с помощью '$' , а другой трюк - добавление нового поля.
Может кто-нибудь сказать мнеэто возможно?
Вот часть моего свободного файла conf для журналов Windows (это очень просто):
<match winserver.**>
@type elasticsearch
hosts http://elasticsearch.test:9200
logstash_format true
time_key ttw
time_key_format "%Y-%m-%dT%H:%M:%S.%L%z"
remove_keys ttw
logstash_prefix winserver.test
request_timeout 15s
<buffer>
@type memory
flush_interval 10s
</buffer>
</match>
Спасибо!