0

特定の dnslog 行を SIEM サーバーへの転送から削除したい..

削除したいログラインは、「sophosxl」クエリを含むものです..以下の nxlog 設定を試しましたが、機能していません..

助けてください...ありがとう

サンプル ログ ファイル:

3/2/2018 6:47:04 PM 0D84 PACKET  000000C1FF664DD0 UDP Rcv 10.5.102.203    4140   Q [0001   D   NOERROR] A      (4)win8(4)ipv6(9)microsoft(3)com(0)

3/2/2018 6:47:04 PM 0D84 PACKET  000000C1FF703080 UDP Rcv 192.164.47.70   1035   Q [0001   D   NOERROR] A      (2)go(9)microsoft(3)com(0)

3/2/2018 6:47:04 PM 0D84 PACKET  000000C1FF7070A0 UDP Rcv 10.51.51.56     a55d   Q [0001   D   NOERROR] A      (1)4(8)sophosxl(3)net(0)

3/2/2018 6:47:04 PM 0D84 PACKET  000000C1FF705090 UDP Rcv 192.164.33.37   a4c1   Q [0001   D   NOERROR] A      (12)filedownload(6)lenovo(3)com(0)

NXLOG_CONFIG

<Input dns>
    Module  im_file
    File  "C:\dns.log"
	
    SavePos TRUE
	#InputType multilineEmtpyLine
    ReadFromLast TRUE
	Exec if ($raw_event == '') drop();
	Exec if ($message =~ /sophosxl/) drop();
    PollInterval 1
    Exec $Message = $raw_event;
	# $SyslogFacilityValue = 22;
</Input>

4

1 に答える 1

0

im_fileデータをフィールドに読み込む$raw_eventので、それを使用する必要があります。

Exec if ($raw_event =~ /sophosxl/) drop();
于 2018-03-03T08:18:26.673 に答える