1

我在过滤/忽略索引器上的 splunk 中的某些事件时遇到了一些问题。

我在 ubuntu 12.04 上运行一个 splunk 4.3.3 索引器,它运行良好,可以接收来自远程 syslog 主机和运行 splunkforwarder-4.3.3-128297-x86-release 的 Windows 主机的输入

问题是,我想过滤掉一些事件。按照这里的文档...

从通用转发器过滤索引器上的窗口事件 http://splunk-base.splunk.com/answers/24310/filter-windows-events-on-indexer-from-a-universal-forwarder

我可以成功过滤掉安全事件,但无论出于何种原因,系统事件 10060 仍在通过

root@box:/home/msbren# cat /opt/splunk/etc/system/local/transforms.conf
[FilterSecurityEvents]

REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)

DEST_KEY=queue

FORMAT=nullQueue


[FilterSystemEvents]

REGEX=^EventCode=10016

DEST_KEY=queue

FORMAT=nullQueue


root@box:/home/msbren# cat /opt/splunk/etc/system/local/props.conf
[WinEventLog:Security]

TRANSFORMS-Filter_Events = FilterSecurityEvents

[WinEventLog:System]

TRANSFORMS-Filter_Events = FilterSystemEvents

root@box:/home/msbren#

据我了解,我做的事情是正确的,所以我一定遗漏了一些东西。如果有人有任何建议,我将非常感激。

-麦克风

4

2 回答 2

1

要添加到 MHibbins 注释,您需要删除 EventCode 之前的 ^,因为 EventCode 位于事件中间。查看http://blogs.splunk.com/2012/09/21/the-splunk-app-for-active-directory-and-how-i-tamed-the-security-log/上的 splunk 博客文章关于这个的详细过程。

于 2012-10-01T01:19:49.253 回答
0

我会建议....

首先,Splunk 在 SplunkBase 有一个官方论坛,非常适合这些问题。

其次,查看两个过滤器...您在系统节中缺少正则表达式标志。

即您拥有的安全性和您拥有REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)的系统REGEX=^EventCode=10016

我相信这是问题所在,因为 MS 事件是多行的,您将需要m多行标志,因此我建议至少将您的系统 REGEX 更改为REGEX=(?msi)^EventCode=10016.

试一试,让我们知道你的进展如何……

米宾

于 2012-09-28T13:25:01.643 回答