我有一些問題篩選/忽略索引器上的splunk中的一些事件。splunk 4.3.3索引器過濾問題
進出口運行在Ubuntu 12.04一的Splunk 4.3.3索引及其工作以及接收來自遠程系統日誌主機的輸入和Windows主機上運行splunkforwarder-4.3.3-128297 86發佈
的問題是,身份證喜歡過濾掉一些事件。繼這裏文檔......從通用轉發 http://splunk-base.splunk.com/answers/24310/filter-windows-events-on-indexer-from-a-universal-forwarder
我可以成功地篩選出安全事件,但無論什麼原因,系統事件10060在索引
過濾器的窗口的事件仍在通正在添加
[email protected]:/home/msbren# cat /opt/splunk/etc/system/local/transforms.conf
[FilterSecurityEvents]
REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)
DEST_KEY=queue
FORMAT=nullQueue
[FilterSystemEvents]
REGEX=^EventCode=10016
DEST_KEY=queue
FORMAT=nullQueue
[email protected]:/home/msbren# cat /opt/splunk/etc/system/local/props.conf
[WinEventLog:Security]
TRANSFORMS-Filter_Events = FilterSecurityEvents
[WinEventLog:System]
TRANSFORMS-Filter_Events = FilterSystemEvents
[email protected]:/home/msbren#
從我的理解我做的事情是正確的,所以我必須錯過一些東西。如果任何人有任何建議,我會非常感激。
-Mike
嗯...我的理解(並可能是錯誤的)...克拉符號將匹配一個字符串的開頭(不管它的位置)。參考這裏的例子:http://www.regular-expressions.info/reference.html。 '^。匹配abc \ ndef中的一個。在「多行」模式下也匹配d – MHibbin