我正在尝试使用 cloudwatch 代理以单行日志格式转发 Windows 事件日志中的日志。日志正文为 json 格式,在发送到 cloudwatch 后,json 被转换为多行、美化格式。
这是我的 cloudwatch 代理 config.json:
{
"logs": {
"logs_collected": {
"windows_events": {
"collect_list": [
{
"event_format": "xml",
"event_levels": [
"INFORMATION",
"WARNING",
"ERROR",
"CRITICAL"
],
"event_name": "osquery",
"log_group_name": "osquery-windows-event-log",
"log_stream_name": "{instance_id}"
}
]
}
}
}
}
我要转发的日志是 osquery 结果,它们是单行。
有没有办法配置这种行为?