참고로 source 및 destination.geo 필드는 winlogbeat가 자동으로 만들어준다. 별도 매핑 작업이 필요없다는 얘기. ECS가 편하기는 한 듯. 그런데 beat 모니터를 띄워보니 이벤트 드롭이 발생하고 있네?
winlogbeat 로그를 보니 ip 필드가 없는 이벤트 로그들이 드롭되는 중.
WARN [elasticsearch] elasticsearch/client.go:384 Cannot index event publisher.Event... ...field [SourceAddress] not present as part of path [winlog.event_data.SourceAddress]"}
드롭을 막는 방법은 두 가지. 원하는 이벤트 로그 조건을 주거나
맞는 조건이 없으면 무시하거나
결과는 모두 같다.
관련 글
댓글 없음:
댓글 쓰기