linuxnur

Приветствую коллеги. Подскажите, может кто сталкивался с настройка winlogbeat и logstash

Имеется win log server, который собирает логи с DC в .evtx (wef) на нем стоит winlogbeat со стандартной конфигурацией:

-name: ForwardedEvents

Logstash имеет конфиг (урезал его немного):

input {

beats {

port => 5044

tags => [ "winlogbeat" ]

}

}

# Active Directory - Security Group Management

filter {

if "winlogbeat" in [tags] and [log_name] == "Security" and [event_id] == 4727 {

mutate {

add_field => { "short_message" => "A security-enabled global group was created" }

}

}

output {

elasticsearch {

hosts => ["http://elasticsearchserver:9200"]

index => "logstash-winlogbeat-%{+xxxx.ww}"

}

}

В принципе стандартный. Собираю только нужные мне эвенты (ибо место необходимо беречь) Только фильтр не отработает правильно, либо отображаются все эвенты, либо не отображается в кибане вообще.

После истории с мед. комиссией #comment_88229783 вспомнилась другая.

Попал я уже в третью часть. ПВО УФА Алкино 2. Попал я туда уже дембелем отслужив больше года. Часть была "черной" кто знает - тот поймет. И вот раз поймал нас дежурный по части за СОЧ. Это был не я, а тот кто кабанчиком решил сбегать в магазин за тем что имеет 40 градусов. История началась тем что парень лез с 4 этажа по пожарному шлангу вниз. В итоге мы его потеряли. Но это уже потом. В общем как вы поняли наша рота РМО попала из-за него, а звание было у меня сержант, что в роте без духов много значило. На то время у меня была должность водитель инструктор и соответственно я "жил" в автопарке. Дальше поймете к чему это я. Попала наша рота и все кто носил погоны были сильно наказаны. Мое наказание было самое ужасное это чистка параши. Спешу напомнить вам что в нашей роте не было духов и слонов, поэтому наша обитатель в виде горшка была в ужасном состоянии. Командир роты напряг меня что бы туалеты блестели как у кота кокушки, но не гоже старослужащему мыть параши за всех. Поэтому мною было принято решение пойти в аккумуляторщику в парк и взять немного кислоты (вот тут не уверен толи для аккумулятор, толи для отчисти чего то) После получения мною 5 литров волшебного раствора с картинкой опасно, я прибыл в расположение. Где не жалея обильно облил каждый горшок и раковину, с надеждой что через часик приду и смою водичкой с мылом и будет огонь. После обильного поливания горшков, я благополучно сел в свой один из камазов и уехал на склад за продуктами. С мыслью "сейчас все впитается и разъест и меня потом будут все благодарить", но оказалось немного по иному. Возвращаясь в расположение роты я заметил что все бегают в противогазах, что естественно меня смутило. Поднявшись на свой 4 этаж я учуял зловещую вонизму. Как после оказалось все трубы были сделаны с дешевого пластика который не прошел проверку, но был дешевый и наш прапор части его отлично закупил. Короче кислота сожрала почти все трубы с 4 по 1 этаж не забыв про отходы парней который мечтали о доме.  Закончилось тем, что я знатно получил пиз**ов от командира роты, потом от командира части и на последов от прапора- закупщика. Зато в течении 10 дней у всех стояли новые туалеты, раковины и трубы, и больше не доводили их до ужасного состояния