我有一些问题在索引器上过滤/忽略splunk中的某些事件。
我在ubuntu 12.04上运行一个splunk 4.3.3索引器,它的工作很好,接收来自远程syslog主机的输入和一个运行splunkforwarder-4.3.3-128297-x86-release的windows主机
问题是,我喜欢过滤掉一些事件。按照这里的文件......
从通用转发器中过滤索引器上的窗口事件 http://splunk-base.splunk.com/answers/24310/filter-windows-events-on-indexer-from-a-universal-forwarder
我可以成功过滤掉安全事件,但无论出于何种原因系统事件10060仍然通过
root@box:/home/msbren# cat /opt/splunk/etc/system/local/transforms.conf
[FilterSecurityEvents]
REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)
DEST_KEY=queue
FORMAT=nullQueue
[FilterSystemEvents]
REGEX=^EventCode=10016
DEST_KEY=queue
FORMAT=nullQueue
root@box:/home/msbren# cat /opt/splunk/etc/system/local/props.conf
[WinEventLog:Security]
TRANSFORMS-Filter_Events = FilterSecurityEvents
[WinEventLog:System]
TRANSFORMS-Filter_Events = FilterSystemEvents
root@box:/home/msbren#
据我的理解,我做的事情是正确的,所以我必须遗漏一些东西。如果有人有任何建议我会非常感激。
-Mike
答案 0 :(得分:1)
要添加到MHibbins注释,您需要在EventCode之前删除^,因为EventCode位于事件的中间。查看http://blogs.splunk.com/2012/09/21/the-splunk-app-for-active-directory-and-how-i-tamed-the-security-log/上的splunk博客文章,了解详细流程。
答案 1 :(得分:0)
我建议......
首先,Splunk在SplunkBase上有一个官方论坛,非常适合这些问题。
其次,查看两个过滤器......您缺少系统节中的正则表达式标志。
即。对于安全性,您拥有REGEX=(?msi)^EventCode=(4634|4624|4769|515|577),而对于系统,您拥有REGEX=^EventCode=10016。
我认为这是问题,因为MS事件是多线的,您需要多行的m标记,所以至少我建议将系统REGEX更改为REGEX=(?msi)^EventCode=10016。
给这个旋转,让我们知道你是怎么过的......
MHibbin