将日志存储输出到AlienVault (OSSIM)

Question

我有以下拓扑：

rsyslog客户端->日志存储服务器-> elasticsearch &另一个日志存储和alienvault &本地文件

问题是alienvault只想要原始消息，而不需要任何json字段。我怎么能只向alienvault发送"message“字段的值？

到目前为止，我已经做了这样的事情：-在logstash中，在过滤器中，我已经配置了克隆{克隆=> “外星人” }。-所有剩余的筛选都在这一行之上--在所有其他筛选之后，我得到了like...if 类型 ==“外星人”->突变-> remove_field (除了类型以外的所有字段)；-在逻辑存储输出中，如果是类型 ==“外星”udp {主机、端口等等)。

但是AlienVault仍然收到这样的消息：

8月31日17:01:41 {“消息”：“8月31日09:01:35 bkp1 sshd10538：Connection from port "，”type“：”from“}

我希望AlienVault只收到“8月31日09:01:35 bkp1 sshd10538：Connection from port”

这有可能和洛什一起吗？

谢谢

Answer 1

好的，两天后我终于明白了(万一还有人需要这个)。这就是AlienVault的输出：

tcp {主机=>“端口=> "”message_format => "%{message}“编解码器=>行”{ format => "%{message}“}}

我认为您需要它是tcp，因为您需要在udp输出中不可用的"message_format“。