1. 首頁
  2. 問答
  3. splunk 4.3.3索引器過濾問題

splunk 4.3.3索引器過濾問題

2012-09-10 39 views
1

我有一些問題篩選/忽略索引器上的splunk中的一些事件。splunk 4.3.3索引器過濾問題

進出口運行在Ubuntu 12.04一的Splunk 4.3.3索引及其工作以及接收來自遠程系統日誌主機的輸入和Windows主機上運行splunkforwarder-4.3.3-128297 86發佈

的問題是,身份證喜歡過濾掉一些事件。繼這裏文檔......從通用轉發 http://splunk-base.splunk.com/answers/24310/filter-windows-events-on-indexer-from-a-universal-forwarder

我可以成功地篩選出安全事件,但無論什麼原因,系統事件10060在索引

過濾器的窗口的事件仍在通正在添加

[email protected]:/home/msbren# cat /opt/splunk/etc/system/local/transforms.conf 
[FilterSecurityEvents] 

REGEX=(?msi)^EventCode=(4634|4624|4769|515|577) 

DEST_KEY=queue 

FORMAT=nullQueue 


[FilterSystemEvents] 

REGEX=^EventCode=10016 

DEST_KEY=queue 

FORMAT=nullQueue 


[email protected]:/home/msbren# cat /opt/splunk/etc/system/local/props.conf 
[WinEventLog:Security] 

TRANSFORMS-Filter_Events = FilterSecurityEvents 

[WinEventLog:System] 

TRANSFORMS-Filter_Events = FilterSystemEvents 

[email protected]:/home/msbren#

從我的理解我做的事情是正確的,所以我必須錯過一些東西。如果任何人有任何建議,我會非常感激。

-Mike

來源

2012-09-10 mike brentlinger

回答

0

我建議....

首先,Splunk的具有SplunkBase的官方論壇,這將是理想的這些問題。

其次,看看這兩個過濾器...您在系統節中缺少正則表達式標誌。

即安全你有REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)和系統你有REGEX=^EventCode=10016

我相信這是問題,因爲MS事件是多行的,您將需要多行的m標誌,所以至少我建議添加將您的System REGEX更改爲REGEX=(?msi)^EventCode=10016

給這個漩渦,並讓我們知道你上車......

MHibbin

來源

2012-09-28 13:25:01 MHibbin

1

要添加到MHibbins評論,你需要刪除^作爲EVENTCODE是在中前EVENTCODE事件的中間。查看關於此問題的詳細流程,在http://blogs.splunk.com/2012/09/21/the-splunk-app-for-active-directory-and-how-i-tamed-the-security-log/的splunk博客文章。

來源

2012-10-01 01:19:49

+0

嗯...我的理解(並可能是錯誤的)...克拉符號將匹配一個字符串的開頭(不管它的位置)。參考這裏的例子:http://www.regular-expressions.info/reference.html。 '^。匹配abc \ ndef中的一個。在「多行」模式下也匹配d – MHibbin

相關問題

 相關問題