Logstashイベントログフィルタ

Question

logstashからMicrosoftのイベントログからエラーメッセージをフィルタリングする必要があります。 ELKは

logstash構成ubunu 14.04マシン上で実行されている

input { 
    tcp { 
    port => 5045 
    type => 'eventlog' 

    } 
} 
filter{ 

if [type] == 'eventlog' { 
    if [Severity] == "ERROR" { 
    mutate { 
     add_tag => "error" 
    } 
    } 
} 


} 
output { 

    elasticsearch { 
     hosts => ["IP_ADDRSS:9200"] 
     } 

    if "error" in [tags]{ 

    stdout { codec => 'rubydebug' } 
} 
} 

しかし、それでもまだ、私はエラーログをフィルタリングすることはできません、そこからeventlogsの数千人を取得しています。 すべてのタイプのイベントログからエラーログを効果的にフィルタリングするにはどうすればよいですか？

Answer 1

どのようにデータを摂取していますか？入力構成から明らかではありません。 Winlogbeatを使用する場合、フィルタリングは正常に動作するはずです。

Answer 2

"Severity：ERROR"というタグはありませんでした。そこで、tcp入力にcodec => "json"を追加しました。ログにエラータグがあります。だから私はそれをフィルタリングすることができます。