Hallo, ich habe die folgen Beispiel Linien mit grok passen, aber es nur dieses _grokparsefailure Fehler erzeugen:Sintax Fehler _grokparsefailure in logstash
OSSEC - RULEID: "1484654377"; RULEID: "5402"; RULELEVEL: "3"; RULEGROUP: "syslog,sudo"; RULECOMMENT: "Successful sudo to ROOT executed"; DSTUSER: "root"; SRCIP: "None"; HOSTNAME: "elk-stack-2"; LOCATION: "/var/log/auth.log"; EVENT: "[INIT]Jan 17 09:59:36 elk-stack-2 sudo: root : TTY=pts/1 ; PWD=/root ; USER=root ; COMMAND=/bin/su[END]";
Mein grok conf ist:
filter {
grok {
match => { "message" => "OSSEC - RULEID: \"%{NUMBER:timestamp}\"; RULEID: \"${NUMBER:ruleid}\"; RULELEVEL: \"${NUMBER:rulelevel}\"; RULEGROUP: \"${GREEDYDATA:rulegroup}\"; RULECOMMENT: \"${DATA:rulecomment}\"; DSTUSER: \"${NOTSPACE:dstuser}\"; SRCIP: \"${NOTSPACE:srcip}\"; HOSTNAME: \"${NOTSPACE:hostname}\"; LOCATION: \"${NOTSPACE:location}\"; EVENT: \"[INIT]${DATA:event}[END]\";"
}
}
}
Wohin ich gehe falsch?
Sorry, das ist die vollständige Zeile: 'OSSEC - RULEID:" 1484654377 "; RULEID: "5402"; RULELEVEL: "3"; REGELGRUPPE: "syslog, sudo"; REGELUNG: "Erfolgreiches Sudo zu ROOT ausgeführt"; DSTUSER: "Wurzel"; SRCIP: "Keine"; HOSTNAME: "elk-stack-2"; STANDORT: "/var/log/auth.log"; EREIGNIS: "[INIT] Jan 17 09:59:36 elk-stack-2 sudo: root: TTY = Punkte/1; PWD =/root; USER = Wurzel; COMMAND =/bin/su [END]"; ' –
Verwenden Sie keine Kommentare zum Aktualisieren von Fragen; Bearbeiten Sie einfach die Frage und fügen Sie Ihre Details hinzu. – jdv