![](/img/trans.png)
[英]Universal forwarder is not able to communicate with remote Splunk Indexer
[英]splunk 4.3.3 indexer filtering issue
我在過濾/忽略索引器上發生的一些事件時遇到一些問題。
我在ubuntu 12.04上運行了一個splunk 4.3.3索引器,並且可以很好地接收來自遠程syslog主機和運行splunkforwarder-4.3.3-128297-x86-release的Windows主機的輸入
問題是,我想過濾掉一些事件。 在這里關注文檔...
從通用轉發器http://splunk-base.splunk.com/answers/24310/filter-windows-events-on-indexer-from-a-universal-forwarder過濾索引器上的Windows事件
我可以成功過濾掉安全事件,但是無論出於何種原因,系統事件10060仍然會通過
root@box:/home/msbren# cat /opt/splunk/etc/system/local/transforms.conf
[FilterSecurityEvents]
REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)
DEST_KEY=queue
FORMAT=nullQueue
[FilterSystemEvents]
REGEX=^EventCode=10016
DEST_KEY=queue
FORMAT=nullQueue
root@box:/home/msbren# cat /opt/splunk/etc/system/local/props.conf
[WinEventLog:Security]
TRANSFORMS-Filter_Events = FilterSecurityEvents
[WinEventLog:System]
TRANSFORMS-Filter_Events = FilterSystemEvents
root@box:/home/msbren#
據我了解,我做的事情是正確的,所以我一定缺少一些東西。 如果有人有任何建議,Id將不勝感激。
-麥克風
要添加到MHibbins注釋,您需要在EventCode之前刪除^,因為EventCode位於事件的中間。 在http://blogs.splunk.com/2012/09/21/the-splunk-app-for-active-directory-and-how-i-tamed-the-security-log/中查看splunk博客文章一個詳細的過程。
我會建議....
首先,Splunk在SplunkBase設有一個官方論壇,這對於這些問題是理想的。
其次,查看兩個過濾器...您在系統節中缺少正則表達式標志。
即對於安全性,您有REGEX=(?msi)^EventCode=(4634|4624|4769|515|577)
,對於系統,您有REGEX=^EventCode=10016
。
我相信這是問題所在,因為MS事件是多行的,您將需要m
標志用於多行,因此至少我建議添加將您的系統REGEX更改為REGEX=(?msi)^EventCode=10016
。
旋轉一下,讓我們知道您的相處...
邁賓
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.