if [process][name] == 'xi_auditlog' {
    grok {
      match => [ 'message', '%{XIAUDITLOG_MESSAGE}' ]
      patterns_dir => '/usr/local/nagioslogserver/etc/patterns'
      overwrite => [ 'message' ]
    }
    date {
      match => [ 'timestamp', 'yyyy-MM-dd HH:mm:ss' ]
    }
    mutate {
      replace => [ 'type', 'xi_auditlog' ]
    }
  }