Graylog の一部の Windows ログから受信したデータを「美しく」しようとしています。私の考えは、Windows ログ ID を数値からその ID の実際の定義に変更することです。例: ID 4625のログを受け取りました。ウィジェットに「アカウントがログオンできませんでした」と表示したいと考えています。
そのために、サーバーにアップロードした .csv から ID とそれぞれの定義を自然言語で読み取るパイプラインとルックアップ テーブルを使用しています。
これは私がパイプライン用に書いたルールですが、うまくいかないようです:
rule "eventid_windows_rule"
when
has_field("winlogbeat_winlog_event_id")
then
let winlogbeat_winlog_italiano = lookup("winlogbeat_winlog_event_id", to_string($message.winlogbeat_winlog_event_id));
set_field("winlogbeat_winlog_italiano", winlogbeat_winlog_italiano);
end
私の問題は特にこのルールにあると思います.Graylogはルックアップテーブルをテストすることを可能にし、IDを手動で書くとルックアップテーブルはそれぞれの説明を見つけます.