我们如何在弹性代理日志进入 Elasticsearch 集群之前为其添加威胁情报数据?
我试图根据该日志中存在的详细信息向每个日志添加一些新字段。
示例:如果您考虑 VirusTotal
根据我们的弹性代理收集的进程名称,我需要通过计算其 Virustotal 分数在每一行中再添加一个字段。
我们如何添加该附加字段?
最佳答案
将日志导出到logstash。然后在logstash中接收后添加您的字段,然后将其发送到新索引。
关于elasticsearch - 在 Elasticsearch 数据中添加威胁 Intel 字段,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68098826/