logstash-if%{statement}有“value”

cs7cruho  于 2021-06-10  发布在  ElasticSearch
关注(0)|答案(1)|浏览(391)

在logstash中,我试图设置一个条件,如果在一个名为“cowrie.json”的文件中,收到一条以“login attempt*”开头的新消息,则发送一封电子邮件。
这就是我所尝试的:

output {
  if [log][file][path] =~ "cowrie.json" {
  if %{message} =~ "login attempt.*"{
    email {
      to => 'test@address.com'
      subject => 'Honeypot Alert'
      body => "Someone interacted with the honeypot!"
      domain => 'mail.xconnect.net'
      port => 25
    }
  }
 }
}

如果我去掉第二个 if 声明,它是有效的。有人知道我要用什么来代替第二个吗 if 语句,使其仅适用于以“login attempt”开头的实体/消息?
非常感谢!

elasticsearchlogstashkibanaelastic-stackGrok

1条答案

按热度按时间
mf98qq94

mf98qq941#

编辑:已解决:

if "login attempt" in [message] {

if [message] =~ "^login attempt" {
赞(0)分享  回复(0)举报  2021-06-10
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com