Getting Data In
Highlighted

Windows セキュリティイベントログのメッセージフィールドが1行目しか表示されない

Communicator

Windows OSにインストールされた Universal Forwarder から、Linux OSにインストールされた Indexer へ Windows セキュリティ・イベントログを転送しました。インデックスされたデータを検索したところ、メッセージフィールドの内容が1行目しか表示されません。全ての内容をインデックスするためにはどうしたら良いのでしょうか。

0 Karma
Highlighted

Re: Windows セキュリティイベントログのメッセージフィールドが1行目しか表示されない

Communicator

Windows イベントログについては、Windows OSにインストールされた Indexer でインデックス処理されることを想定しているため、Linux OS にインストールされた Indexer でインデックス処理をすると一部のフィールドの内容が正しくインデックスできません。本件は、製品の不具合ではなく製品仕様です。
下記の設定を $SPLUNK_HOME/etc/system/local/props.conf に追加することで、Linux OS にインストールされた Indexer でも正しくインデックスすることができます。

[source::....(?i)(evt|evtx)(.\d+)?] 
sourcetype = preprocess-winevt 
NO_BINARY_CHECK = true 
SHOULD_LINEMERGE = false 
MAX_TIMESTAMP_LOOKAHEAD=30 
LINE_BREAKER = ([\r\n](?=\d{2}/\d{2}/\d{4} \d{2}:\d{2}:\d{2} [aApPmM]{2})) 
REPORT-MESSAGE = wel-message, wel-eq-kv, wel-col-kv

View solution in original post

0 Karma