iT邦幫忙

0

請問有人對splunk 過濾event id 熟悉嗎

  • 分享至 

  • xImage

splunk 教學網址如下
http://docs.splunk.com/Documentation/Splunk/6.2.4/admin/inputsconf

但我有照著在
C:\Program Files\Splunk\etc\system\local\inputs.conf
下進行加入
[WinEventLog:Security]
disabled = false
blacklist = 5156-5157

但我的WIM 收EVENTLOG 還是有 5156

請大大教學 謝謝

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

2
runan5678
iT邦研究生 1 級 ‧ 2015-08-07 08:49:41
最佳解答

1.先確認Splunk版本為6.0以上 根據資料顯示這樣的設定方式是6.0以上才能運作
http://blogs.splunk.com/2013/10/14/windows-event-logs-in-splunk-6/

2.如果直接修改splunk的conf請記得重新啟動Splunk的服務

3.如果以上都做過了,可以嘗試舊的設定方式。透過設定props.conf和transformers.conf
進行EventID的過濾
http://blogs.splunk.com/2012/09/21/the-splunk-app-for-active-directory-and-how-i-tamed-the-security-log/

手邊沒有實際的例子,只好貼幾個連結供作參考

0
masako652001
iT邦新手 5 級 ‧ 2015-08-07 10:59:30

請試試以下

[WinEventLog://Security]
disabled = 0
blacklist=5156,5157

我要發表回答

立即登入回答