간단한 파이프라인 테스트 결과.
[2020-12-10T20:28:16,956][INFO ][logstash.agent ] Pipelines running {:count=>1, :running_pipelines=>[:main], :non_running_pipelines=>[]}{
"message" => "a|b\r"
}
{
"message" => "|c\r"
}
2020년 12월 12일 토요일
Logstash 필터 grok - 3rd
2020년 12월 6일 일요일
Winlogbeat의 파일 연동 - 2nd
Winlogbeat는 실시간 기록되는 이벤트 로그는 물론 별도 저장된 이벤트 로그 파일 연동도 지원한다.
문제는 파일 연동 시 단일 파일 단위로만 연동을 지원하며, 와일드카드 등을 이용한 다수 파일 단위의 연동은 지원하지 않는다는 것. LogParser는 지원하는데
winlogbeat.event_logs: - name: 'C:\backup\sysmon-2019.08.evtx'
