Solved: Windows セキュリティイベントログのメッセージフィールドが１行目しか表示されない

CurryPan · ‎12-22-2016

Windows OSにインストールされた Universal Forwarder から、Linux OSにインストールされた Indexer へ Windows セキュリティ・イベントログを転送しました。インデックスされたデータを検索したところ、メッセージフィールドの内容が１行目しか表示されません。全ての内容をインデックスするためにはどうしたら良いのでしょうか。

CurryPan · ‎12-22-2016

Windows イベントログについては、Windows OSにインストールされた Indexer でインデックス処理されることを想定しているため、Linux OS にインストールされた Indexer でインデックス処理をすると一部のフィールドの内容が正しくインデックスできません。本件は、製品の不具合ではなく製品仕様です。
下記の設定を $SPLUNK_HOME/etc/system/local/props.conf に追加することで、Linux OS にインストールされた Indexer でも正しくインデックスすることができます。

[source::....(?i)(evt|evtx)(.\d+)?] 
sourcetype = preprocess-winevt 
NO_BINARY_CHECK = true 
SHOULD_LINEMERGE = false 
MAX_TIMESTAMP_LOOKAHEAD=30 
LINE_BREAKER = ([\r\n](?=\d{2}/\d{2}/\d{4} \d{2}:\d{2}:\d{2} [aApPmM]{2})) 
REPORT-MESSAGE = wel-message, wel-eq-kv, wel-col-kv

View solution in original post

CurryPan · ‎12-22-2016

Windows イベントログについては、Windows OSにインストールされた Indexer でインデックス処理されることを想定しているため、Linux OS にインストールされた Indexer でインデックス処理をすると一部のフィールドの内容が正しくインデックスできません。本件は、製品の不具合ではなく製品仕様です。
下記の設定を $SPLUNK_HOME/etc/system/local/props.conf に追加することで、Linux OS にインストールされた Indexer でも正しくインデックスすることができます。

[source::....(?i)(evt|evtx)(.\d+)?] 
sourcetype = preprocess-winevt 
NO_BINARY_CHECK = true 
SHOULD_LINEMERGE = false 
MAX_TIMESTAMP_LOOKAHEAD=30 
LINE_BREAKER = ([\r\n](?=\d{2}/\d{2}/\d{4} \d{2}:\d{2}:\d{2} [aApPmM]{2})) 
REPORT-MESSAGE = wel-message, wel-eq-kv, wel-col-kv

Windows セキュリティイベントログのメッセージフィールドが１行目しか表示されない

Introducing the 2024 SplunkTrust!

Introducing the 2024 Splunk MVPs!

Splunk Custom Visualizations App End of Life