如何使用 logstash 管道配置将 Okta 系统日志记录转换为 Elastic Common Schema 版本 1.5
How to translate Okta System Log records into Elastic Common Schema version 1.5 using logstash pipeline configuration
我有一个 Okta 实例,我使用 退出了系统日志
logstash-input-okta_system_log Elastic Logstash 插件。
该插件运行良好。我想要的是使用 Logstash 管道配置将日志转换为 Elastic Common Schema。我可以做到,但坦率地说,这是一项艰巨的任务映射、变异、重命名字段。
现在我想知道是否有人以前这样做过并愿意分享他们的过滤器?
我不能 100% 确定这是否违背了 Whosebug 的精神,我相信很多人都会对此提出异议。
我已经开始研究它,如果这不是之前有人做过的事情,我会 post 我的解决方案作为将来寻找相同东西的人的答案。
我在 Internet 上搜索没有找到任何内容。期待听到已经这样做过的人的意见。
filter {
mutate {
rename => {"displayMessage" => "message"}
.
.
.
}
}
对于任何感兴趣的人,Elastic 将在几周内发布新的 Filebeat 模块,其中包括一个用于 Okta 的模块,它通过 API 读取 Okta 系统日志并映射到 ECS。
这就是我要使用的。
在尚未发布的文档中查找详细信息:https://www.elastic.co/guide/en/beats/filebeat/master/filebeat-module-okta.html
我有一个 Okta 实例,我使用 退出了系统日志 logstash-input-okta_system_log Elastic Logstash 插件。
该插件运行良好。我想要的是使用 Logstash 管道配置将日志转换为 Elastic Common Schema。我可以做到,但坦率地说,这是一项艰巨的任务映射、变异、重命名字段。
现在我想知道是否有人以前这样做过并愿意分享他们的过滤器?
我不能 100% 确定这是否违背了 Whosebug 的精神,我相信很多人都会对此提出异议。
我已经开始研究它,如果这不是之前有人做过的事情,我会 post 我的解决方案作为将来寻找相同东西的人的答案。
我在 Internet 上搜索没有找到任何内容。期待听到已经这样做过的人的意见。
filter {
mutate {
rename => {"displayMessage" => "message"}
.
.
.
}
}
对于任何感兴趣的人,Elastic 将在几周内发布新的 Filebeat 模块,其中包括一个用于 Okta 的模块,它通过 API 读取 Okta 系统日志并映射到 ECS。
这就是我要使用的。
在尚未发布的文档中查找详细信息:https://www.elastic.co/guide/en/beats/filebeat/master/filebeat-module-okta.html