Logstashフィルター条件付きが適用されない
Windowsサーバーにnxlogがあり、ログをLogstash(JSON形式)に送信しています。セキュリティイベントをSIEMに複製したいので、特定のWindowsイベントIDをキャッチするロジックを追加しました。
「Windowsイベントログ」タグが(「add_tag」を介して)適用されても、ログを確認して4624のようなEventIDを見つけても、「Windowsセキュリティイベント」は追加されません。
参考までに、完全なプレーンテキストのlogstash.confを次に示します。
input {tcp{port=>1514}}
filter {
if "im_msvistalog" in [message] {
json {source => "message"}
mutate {add_tag => "Windows Event Log"}
if [EventID]=="4688" or [EventID]=="592" or [EventID]=="4624" or [EventID]=="528" or [EventID]=="540" or [EventID]=="5140" or [EventID]=="560" or [EventID]==5156 or [EventID]=="7045" or [EventID]=="601" or [EventID]=="4663" or [EventID]=="567" {
mutate {add_tag => "Windows Security Event"}
}
}
}
output {stdout{codec=>rubydebug}}
編集:出力は次のようになります: 
EventIDは整数ですが、文字列比較でテストしています。 ifブロックの数字を囲む引用符を削除してみてください。