logstash - 如何使用 logstash 管道配置将 Okta 系统日志记录转换为 Elastic Common Schema 版本 1.5
问题描述
我有一个 Okta 实例,我使用 Elastic Logstash 的 logstash-input-okta_system_log插件来获取系统日志。
该插件工作得很好。我想要的是使用 Logstash 管道配置将日志转换为Elastic Common Schema 。我可以做到,但坦率地说,这是一个非常艰巨的任务映射、变异、重命名字段。
现在我想知道是否有人以前做过这个并愿意分享他们的过滤器?
我不能 100% 确定这是否违背了 StackOverflow 的精神,我相信很多人都会对此提出异议。
我已经开始研究它,如果这不是有人做过的事情,我会发布我的解决方案作为未来寻找同样事情的人的答案。
我在互联网上没有找到任何东西。期待听到已经做过这件事的人的来信。
filter {
mutate {
rename => {"displayMessage" => "message"}
.
.
.
}
}
解决方案
对于任何感兴趣的人,Elastic 将在几周内发布新的 Filebeat 模块,其中包括一个用于 Okta 的模块,它通过 API 读取 Okta 系统日志并映射到 ECS。
这将是我将使用的。
在尚未发布的文档中查找详细信息:https ://www.elastic.co/guide/en/beats/filebeat/master/filebeat-module-okta.html
推荐阅读
- javascript - 如何将特定的 Json 部分作为独立对象返回?
- angular - 重定向有什么用?
- c# - 正则表达式捕获 LaTeX 评论
- c - 为什么不让我用 scanf() 为 char 输入值?
- java - 为字符串检查添加通配符
- python - 点安装-e。在 conda 环境中给出错误 13
- javascript - 如何在不需要播放的情况下对 chrome 中的音频文件进行 FFT 分析?
- c# - 获取具有与字符串匹配的对象的所有对象
- cmake - CMake:正确安装多个构建工件
- python - 检查输入时出错:预期 dense_1_input 具有形状 (784,) 但得到的数组具有形状 (1,)