我们将Windows AD日志发送给ElasticSearch(winlogbeat->fluentd->Elasticsearch)。
是否可以根据另一个字段的正则表达式添加流利的其他字段?
我想做的事:
如果我有字段event_data.TargetUserName=PC-NAME$ - >我添加字段event_data.logonType=Computer
如果我有字段event_data.TargetUserName=Username - >我添加字段event_data.logonType=Human
然后将其发送给Elasticsearch。
一个技巧是使用'$'来正则表达数据,其他技巧是添加新字段。
谁能告诉我有可能吗?
这是我用于Windows日志的流利的conf文件的一部分(它非常简单):
<match winserver.**>
@type elasticsearch
hosts http://elasticsearch.test:9200
logstash_format true
time_key ttw
time_key_format "%Y-%m-%dT%H:%M:%S.%L%z"
remove_keys ttw
logstash_prefix winserver.test
request_timeout 15s
<buffer>
@type memory
flush_interval 10s
</buffer>
</match>
谢谢!
您可以使用内置的filter_record_transformer达到您的目的。