1

インデクサーで splunk の一部のイベントをフィルタリング/無視するという問題が発生しています。

ubuntu 12.04でsplunk 4.3.3インデクサーを実行しており、リモートsyslogホストとsplunkforwarder-4.3.3-128297-x86-releaseを実行しているWindowsホストからの入力をうまく受信しています

問題は、いくつかのイベントを除外したいということです。ここでドキュメントに従ってください...

ユニバーサル フォワーダーからのインデクサーで Windows イベントをフィルター処理 http://splunk-base.splunk.com/answers/24310/filter-windows-events-on-indexer-from-a-universal-forwarder

セキュリティ イベントを正常に除外できますが、何らかの理由でシステム イベント 10060 が引き続き発生します。

root@box:/home/msbren# cat /opt/splunk/etc/system/local/transforms.conf
[FilterSecurityEvents]

REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)

DEST_KEY=queue

FORMAT=nullQueue


[FilterSystemEvents]

REGEX=^EventCode=10016

DEST_KEY=queue

FORMAT=nullQueue


root@box:/home/msbren# cat /opt/splunk/etc/system/local/props.conf
[WinEventLog:Security]

TRANSFORMS-Filter_Events = FilterSecurityEvents

[WinEventLog:System]

TRANSFORMS-Filter_Events = FilterSystemEvents

root@box:/home/msbren#

私が理解していることから、私は正しいことをしているので、何かが欠けているに違いありません。誰かにアドバイスがあれば、非常に感謝しています。

-マイク

4

2 に答える 2

1

MHibbinsコメントに追加するには、EventCodeがイベントの途中にあるため、EventCodeの前の^を削除する必要があります。http://blogs.splunk.com/2012/09/21/the-splunk-app-for-active-directory-and-how-i-tamed-the-security-log/のsplunkブログ投稿を確認してください。これに関する詳細なプロセス。

于 2012-10-01T01:19:49.253 に答える
0

私はお勧めします....

まず、Splunk には SplunkBase に公式フォーラムがあり、これらの質問に最適です。

第 2 に、2 つのフィルターを見ると、システム スタンザに正規表現フラグがありません。

つまり、あなたが持っているセキュリティとあなたが持っているREGEX=(?msi)^EventCode=(4634|4624|4769|515|577)システムですREGEX=^EventCode=10016

これが問題だと思います。MS イベントは複数m行であるため、複数行のフラグが必要になるため、少なくともシステム REGEX を に変更することをお勧めしますREGEX=(?msi)^EventCode=10016

この旋風を巻き起こして、あなたの乗り方を教えてください...

ヒッビン

于 2012-09-28T13:25:01.643 に答える