D
у тебя бит тоже в контейнере? тогда донастрой доступ к хост-машине: https://www.elastic.co/guide/en/beats/filebeat/master/add-docker-metadata.html
Size: a a a
2019 October 09
AI
нет. Бит на хостовой
AI
Точнее нмного переформулирую ситуацию. Есть нное количество запущенных контейнеров. Надо получить логи с тех контейнеров в которых есть определенный лейбл
2019 October 10
СК
Всем привет! Подскажите, пожалуйста: есть у меня в данных поле, которое содержит имя windows-домена, иногда в виде "COMPANYХХХ", иногда в виде "COMPANYХХХ.KEM".
Я бы хотел привести все значения этого поля к одному виду, убрав кусок ".KEM", когда он есть
Я бы хотел привести все значения этого поля к одному виду, убрав кусок ".KEM", когда он есть
СК
пробую делать это в Логстеше с помощью gsub, но почему-то не работает
СК
if [winlog][event_data][TargetDomainName] {
mutate {
gsub => ["winlog.event_data.TargetDomainName", "[(\.KEM)$]", ".ggg"]
}
}
mutate {
gsub => ["winlog.event_data.TargetDomainName", "[(\.KEM)$]", ".ggg"]
}
}
СК
.ggg - для наглядности, потом планирую заменить пустыми кавычками
СК
почему может не работать такой фильтр?
D
перемудрил с выражением. "\.KEM" будет более, чем достаточно
СК
это уже результат попыток перебором найти рабочий регексп, с просто ".\KEM" тоже не работает : (
СК
т.е. "\.KEM"
СК
странно: когда я подставил вместо winlog.event_data.TargetDomainName имя другого поля, которое у меня добавляется в фильтре выше, gsub отрабатывает на нём нормально
СК
а с дефолтными полями из winlogbeat не работает, такое ощущение
СК
хотя тип данных вроде везде string
D
попробуй не через точку вложенность указать
D
а через [ ], как в if
СК
попробую
СК
не работает, падает так логстеш
АС
s/\.kem$//g вроде в седе работает
СК
хм, дело даже не в регекспе вроде. с "winlog.event_data.TargetDomainName" даже простое выражение типа "COMPANY" не отрабатывает, при этом с полем message оно же отрабатывает нормально