我正在与一个问题作斗争,即我的if条件被logstash完全忽略。这并不复杂,但我还看不到我的标签添加到事件中。
if [records][properties][resourceDisplayName] =~ /Windows Azure Active Directory/ {
mutate {
remove_tag => [ "Windows" ]
add_tag => [ "Azure" ]
}
}
if [records][properties][resourceDisplayName] =~ /Outlook/ {
mutate {
remove_tag => [ "Windows" ]
add_tag => [ "Outlook" ]
}
}
标签“Azure”和“Outlook”根本没有添加,标签“Windows”仍然可用。我也试过这样做:
if "Outlook" in [records][properties][resourceDisplayName] {
do something
}
还有这个
if [records][properties][resourceDisplayName] == "Outlook" {
do something
}
但它也没有奏效。我做错了什么?
1条答案
按热度按时间798qvoo81#
事实证明这是一个数组。这对我很管用。