我在索引器上的splink中过滤/忽略一些事件时遇到了一些问题。
我在ubuntu 12.04上运行一个splunk 4.3.3索引器,它能很好地接收来自远程系统日志主机的输入,以及一个运行splunkforwarder-4.3.3-128297-x86-release 的windows主机
问题是,我想过滤掉一些事件。在这里跟随一位医生。。。
从通用转发器筛选索引器上的窗口事件http://splunk-base.splunk.com/answers/24310/filter-windows-events-on-indexer-from-a-universal-forwarder
我可以成功地过滤掉安全事件,但无论出于何种原因,系统事件10060仍在中混合
root@box:/home/msbren# cat /opt/splunk/etc/system/local/transforms.conf
[FilterSecurityEvents]
REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)
DEST_KEY=queue
FORMAT=nullQueue
[FilterSystemEvents]
REGEX=^EventCode=10016
DEST_KEY=queue
FORMAT=nullQueue
root@box:/home/msbren# cat /opt/splunk/etc/system/local/props.conf
[WinEventLog:Security]
TRANSFORMS-Filter_Events = FilterSecurityEvents
[WinEventLog:System]
TRANSFORMS-Filter_Events = FilterSystemEvents
root@box:/home/msbren#
据我所知,我做的事情是正确的,所以我一定错过了什么。如果有人有什么建议,我将不胜感激。
-Mike
要添加到MHibbins注释,您需要删除EventCode之前的^,因为EventCode位于事件中间。查看下面的博客文章http://blogs.splunk.com/2012/09/21/the-splunk-app-for-active-directory-and-how-i-tamed-the-security-log/了解详细过程。
我建议。。。。
首先,斯普伦克在斯普伦克基地有一个官方论坛,这将是解决这些问题的理想场所。
其次,看看这两个过滤器。。。系统节中缺少正则表达式标志。
即,对于安全,您有REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)
,而对于系统,则有REGEX=^EventCode=10016
。
我认为这就是问题所在,因为MS事件是多行的,所以多行需要m
标志,所以我建议至少将System REGEX更改为REGEX=(?msi)^EventCode=10016
。
旋转一下,让我们知道你是如何进入…的
MHibbin