請問有人對splunk 過濾event id 熟悉嗎

log分析

mack078 2015-08-06 12:18:32 ‧ 2858 瀏覽

但我有照著在
C:\Program Files\Splunk\etc\system\local\inputs.conf
下進行加入
[WinEventLog:Security]
disabled = false
blacklist = 5156-5157

但我的WIM 收EVENTLOG 還是有 5156

請大大教學謝謝

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

runan5678

iT邦研究生 1 級 ‧ 2015-08-07 08:49:41

最佳解答

1.先確認Splunk版本為6.0以上根據資料顯示這樣的設定方式是6.0以上才能運作
http://blogs.splunk.com/2013/10/14/windows-event-logs-in-splunk-6/

2.如果直接修改splunk的conf請記得重新啟動Splunk的服務

3.如果以上都做過了，可以嘗試舊的設定方式。透過設定props.conf和transformers.conf
進行EventID的過濾
http://blogs.splunk.com/2012/09/21/the-splunk-app-for-active-directory-and-how-i-tamed-the-security-log/

手邊沒有實際的例子，只好貼幾個連結供作參考

masako652001

iT邦新手 5 級 ‧ 2015-08-07 10:59:30

請試試以下

[WinEventLog://Security]
disabled = 0
blacklist=5156,5157

立即登入回答