if [program] == 'xi_auditlog' {
    grok {
        match => [ 'message', '%{XIAUDITLOG_MESSAGE}' ]
        patterns_dir => '/usr/local/nagioslogserver/etc/patterns'
        overwrite => [ 'message' ]
    }
    date {
        match => [ 'timestamp', 'yyyy-MM-dd HH:mm:ss' ]
    }
    mutate {
        replace => [ 'type', 'xi_auditlog' ]
    }
}