我的 Windows 服务器上有 nxlog,将日志发送到 Logstash(JSON 格式)。我想将安全事件克隆到 SIEM,因此我添加了捕获某些 Windows 事件 ID 的逻辑:
即使应用了“Windows 事件日志”标签(通过“add_tag”),也从未添加过“Windows 安全事件”,即使我查看日志并找到像 4624 这样的 EventID。
以下是完整的纯文本 logstash.conf 供参考:
input {tcp{port=>1514}}
filter {
if "im_msvistalog" in [message] {
json {source => "message"}
mutate {add_tag => "Windows Event Log"}
if [EventID]=="4688" or [EventID]=="592" or [EventID]=="4624" or [EventID]=="528" or [EventID]=="540" or [EventID]=="5140" or [EventID]=="560" or [EventID]==5156 or [EventID]=="7045" or [EventID]=="601" or [EventID]=="4663" or [EventID]=="567" {
mutate {add_tag => "Windows Security Event"}
}
}
}
output {stdout{codec=>rubydebug}}
编辑:这是输出的样子:
EventID 是一个整数,但您正在字符串比较中对其进行测试。尝试删除 if 块中数字周围的引号。