У меня очень сложные сообщения журнала, которые я хочу сократить до наиболее важных полей, чтобы сэкономить квоту.
Сообщения журнала многострочные и содержат много избыточной информации. Решение состоит в том, чтобы создать сценарий для переформатирования этих журналов в одинарные строки, прежде чем передавать их в перенаправители splunk, но я бы предпочел использовать уже существующее решение. Я думал об использовании чего-то вроде logstash или fluentd, но они, похоже, не совсем подходят для моего варианта использования.
Кто-нибудь имеет опыт синтаксического анализа журналов для Splunk или ELK и знает, что для этого есть хорошая утилита?
Спасибо и наилучшими пожеланиями!
Это обычное явление при работе с журналами событий Windows. Многие решают проблему, используя SEDCMD в transforms.conf для редактирования событий.
Другое решение - предварительно обработать события с помощью Cribl (https://www.cribl.io/).