엘라스틱 Runtime field - 9th

윈도우 4656 이벤트의 권한 요청 내역.

Splunk의 한글 필드 접근

설정 파일은 한글 필드를 인식하지 못하지만 웹 UI는 인식한다.

엘라스틱 필드 유형 변환

로그스태시는 별도 설정이 없는 한, 숫자를 포함한 모든 데이터를 텍스트로 처리한다.

dissect {
 mapping => {"message" => "%{} %{} %{} %{} %{} %{} %{} %{} %{} %{} %{} %{status} %{}"}
}

{
     "status" => "200",
    "message" => "2011-01-12 20:44:18 192.168.48.11 POST /book/index.asp page=187 80 - 192.168.175.190 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+zh-CN;+rv:1.8.1.2) - 200 0 0 0\r"
}

ingest pipeline - 4th

ingest pipeline 추가. (v8.13.0)

PUT _ingest/pipeline/test-pipeline
{
  "processors": [
    {
      "dissect": {
        "field": "message",
        "pattern": "%{timestamp} %{+timestamp} %{} %{method} %{url} %{param} %{} %{} %{clientip} %{user_agent} %{} %{status} %{}"
      },
      "convert": {
        "field": "status",
        "type": "integer"
      },

엘라스틱 Runtime field - 8th

런타임 필드 만들 때 사용하는 painless 스크립트는 doc[] 구문을 이용해서 필드 데이터에 접근한다.

doc['my_field'].value

Splunk의 eval과 rex - 3rd

replace 함수의 정규표현식 작성 시 전체 문자열 검사는 필수. 더 정확하게 얘기하면 역참조를 사용해서 검사 대상 전체 문자열을 대체할 때만 필수.