Статья не про написание парсеров на Logstash и выбор наиболее оптимальных плагинов для обработки данных. Каждый плагин имеет место быть, в том числе CSV и говорить о не применимости того или иного плагина на мой взгляд некорректно, тем более не зная исходного формата лога на входе.
Говоря про конкретно тот кусок кода, который Вы упомянули, это лишь малая часть итогового конфига (тем более пример взят с внутреннего тестового стенда, и уверен использование CSV плагина никаких проблем не привносит). Думаю почему я не могу показать весь конфигурационный файл в корпоративном блоге от и до объяснять не надо.
В Qradar мы в формате JSON и отправляем. Когда Вы упоминаете про JSON и kv создается впечатление что вы путаете понятия filter и output.
Вопрос по UDP считаю некорректным, так как протоколов для входных данных множество и опять же их разбор выходит за рамки данной статьи.
Говоря про конкретно тот кусок кода, который Вы упомянули, это лишь малая часть итогового конфига (тем более пример взят с внутреннего тестового стенда, и уверен использование CSV плагина никаких проблем не привносит). Думаю почему я не могу показать весь конфигурационный файл в корпоративном блоге от и до объяснять не надо.
В Qradar мы в формате JSON и отправляем. Когда Вы упоминаете про JSON и kv создается впечатление что вы путаете понятия filter и output.
Вопрос по UDP считаю некорректным, так как протоколов для входных данных множество и опять же их разбор выходит за рамки данной статьи.