【发布时间】:2019-01-31 00:39:41
【问题描述】:
我们有发送到 ElasticSearch (winlogbeat->fluentd->Elasticsearch) 的 Windows AD 日志。
是否可以根据其他字段的正则表达式在fluentd中添加附加字段?
我想做什么:
如果我有字段event_data.TargetUserName=PC-NAME$ -> 我添加字段event_data.logonType=Computer
如果我有字段event_data.TargetUserName=Username -> 我添加字段event_data.logonType=Human
然后将其发送给 Elasticserach。
一个技巧是用 '$' 正则表达式数据,另一个技巧是添加新字段。
谁能告诉我这可能吗?
这是我用于 Windows 日志的 fluentd conf 文件的一部分(非常简单):
<match winserver.**>
@type elasticsearch
hosts http://elasticsearch.test:9200
logstash_format true
time_key ttw
time_key_format "%Y-%m-%dT%H:%M:%S.%L%z"
remove_keys ttw
logstash_prefix winserver.test
request_timeout 15s
<buffer>
@type memory
flush_interval 10s
</buffer>
</match>
谢谢!
【问题讨论】:
-
您能分享一下您当前的 fluentd conf 文件吗?所以我们可以看到我们可以尝试的各种选项。
-
我将部分 fluentd conf 文件添加到原始帖子中。
标签: elasticsearch fluent fluentd