Indexing前のフィルタですが、props.conf 及び transforms.conf の
組み合わせにより適用致します。
わかりやすい例として下記のAnswersがありますが
http://splunk-base.splunk.com/answers/81965/windows-event-log-filter
transforms.conf 側にてフィルタしたい箇所をREGEX=として正規表現にて
指定し、FORMATキーにて「収集対象→ indexQueue」「除外対象→ nullQueue」
としてそれぞれ指定するという形になります。この際、setnullスタンザは
必ず最初に記述する必要があります。
特定のユーザアカウント(アカウント数にもよりますが)、且つ特定のEventID群を指定することで
例えば特権ユーザアカウントのログオン、ログオフなどのフィルタが可能となります。
同一のフィールドで複数値を指定する場合は「EventCode=(5157|4625|4624|7036|1102|1033)」
のような形で正規表現内に記述することが可能です。
Indexing前のフィルタですが、props.conf 及び transforms.conf の
組み合わせにより適用致します。
わかりやすい例として下記のAnswersがありますが
http://splunk-base.splunk.com/answers/81965/windows-event-log-filter
transforms.conf 側にてフィルタしたい箇所をREGEX=として正規表現にて
指定し、FORMATキーにて「収集対象→ indexQueue」「除外対象→ nullQueue」
としてそれぞれ指定するという形になります。この際、setnullスタンザは
必ず最初に記述する必要があります。
特定のユーザアカウント(アカウント数にもよりますが)、且つ特定のEventID群を指定することで
例えば特権ユーザアカウントのログオン、ログオフなどのフィルタが可能となります。
同一のフィールドで複数値を指定する場合は「EventCode=(5157|4625|4624|7036|1102|1033)」
のような形で正規表現内に記述することが可能です。