我们有发送到ElasticSearch(winlogbeat->fluentd->Elasticsearch)的Windows AD日志。
是否可以基于其他字段的正则表达式在流利的基础上添加其他字段?
我想做什么:
如果我有字段event_data.TargetUserName=PC-NAME$->我添加字段event_data.logonType=Computer
如果我有字段event_data.TargetUserName=Username->我添加字段event_data.logonType=Human
然后将其发送到Elasticserach。
一个窍门是使用'$'来正则表达式数据,另一个窍门是添加新文件。
谁能告诉我有可能吗?
这是我流利的Windows日志conf文件的一部分(非常简单):
<match winserver.**>
@type elasticsearch
hosts http://elasticsearch.test:9200
logstash_format true
time_key ttw
time_key_format "%Y-%m-%dT%H:%M:%S.%L%z"
remove_keys ttw
logstash_prefix winserver.test
request_timeout 15s
<buffer>
@type memory
flush_interval 10s
</buffer>
</match>
谢谢!