Logstash Filter Conditional Not Applied

У меня есть nxlog на моих серверах Windows, отправляющих журналы в Logstash (в формате JSON). Я хочу клонировать события безопасности в SIEM, поэтому я добавил логику для отслеживания определенных идентификаторов событий Windows:

Несмотря на то, что тег «Журнал событий Windows» применяется (через «add_tag»), «Событие безопасности Windows» "никогда не добавляется, даже когда я просматриваю журналы и нахожу EventID, например, 4624.

Для справки, вот полный текст logstash.conf:

input {tcp{port=>1514}}
filter {
        if "im_msvistalog" in [message] {
                json {source => "message"}
                mutate {add_tag => "Windows Event Log"}
                if [EventID]=="4688" or [EventID]=="592" or [EventID]=="4624" or [EventID]=="528" or [EventID]=="540" or [EventID]=="5140" or [EventID]=="560" or [EventID]==5156 or [EventID]=="7045" or [EventID]=="601" or [EventID]=="4663" or [EventID]=="567" { 
                        mutate {add_tag => "Windows Security Event"}
                }
        }
}
output {stdout{codec=>rubydebug}}

Изменить: Вот как выглядит результат: