Solved: Re: Windows イベントログ収集時に特定のイベント種のみインデックスできますか？

bananaman · ‎04-24-2013

Windowsに限らずインデックス前に特定のイベント種のみを取り込む設定、
または特定のイベント種を除外することは可能でしょうか？

bananaman · ‎04-24-2013

Indexing前のフィルタですが、props.conf 及び transforms.conf の
組み合わせにより適用致します。

わかりやすい例として下記のAnswersがありますが

http://splunk-base.splunk.com/answers/81965/windows-event-log-filter

transforms.conf 側にてフィルタしたい箇所をREGEX=として正規表現にて
指定し、FORMATキーにて「収集対象→ indexQueue」「除外対象→ nullQueue」
としてそれぞれ指定するという形になります。この際、setnullスタンザは
必ず最初に記述する必要があります。

特定のユーザアカウント（アカウント数にもよりますが）、且つ特定のEventID群を指定することで
例えば特権ユーザアカウントのログオン、ログオフなどのフィルタが可能となります。
同一のフィールドで複数値を指定する場合は「EventCode=(5157|4625|4624|7036|1102|1033)」
のような形で正規表現内に記述することが可能です。

View solution in original post

bananaman · ‎04-24-2013

Indexing前のフィルタですが、props.conf 及び transforms.conf の
組み合わせにより適用致します。

わかりやすい例として下記のAnswersがありますが

http://splunk-base.splunk.com/answers/81965/windows-event-log-filter

transforms.conf 側にてフィルタしたい箇所をREGEX=として正規表現にて
指定し、FORMATキーにて「収集対象→ indexQueue」「除外対象→ nullQueue」
としてそれぞれ指定するという形になります。この際、setnullスタンザは
必ず最初に記述する必要があります。

特定のユーザアカウント（アカウント数にもよりますが）、且つ特定のEventID群を指定することで
例えば特権ユーザアカウントのログオン、ログオフなどのフィルタが可能となります。
同一のフィールドで複数値を指定する場合は「EventCode=(5157|4625|4624|7036|1102|1033)」
のような形で正規表現内に記述することが可能です。

Windows イベントログ収集時に特定のイベント種のみインデックスできますか？

Stay Connected: Your Guide to May Tech Talks, Office Hours, and Webinars!

They're back! Join the SplunkTrust and MVP at .conf24

Enterprise Security Content Update (ESCU) | New Releases