Logstash-忽略IF条件

b09cbbtk  于 2022-09-20  发布在  Logstash
关注(0)|答案(1)|浏览(152)

我正在与一个问题作斗争,即我的if条件被logstash完全忽略。这并不复杂,但我还看不到我的标签添加到事件中。

if [records][properties][resourceDisplayName] =~ /Windows Azure Active Directory/ {
    mutate {
      remove_tag => [ "Windows" ]
      add_tag => [ "Azure" ]
    }
  }

  if [records][properties][resourceDisplayName] =~ /Outlook/ {
    mutate {
      remove_tag => [ "Windows" ]
      add_tag => [ "Outlook" ]
    }
  }

标签“Azure”和“Outlook”根本没有添加,标签“Windows”仍然可用。我也试过这样做:

if "Outlook" in [records][properties][resourceDisplayName] {
 do something
}

还有这个

if [records][properties][resourceDisplayName] == "Outlook" { 
  do something 
}

但它也没有奏效。我做错了什么?

798qvoo8

798qvoo81#

事实证明这是一个数组。这对我很管用。

if [records][0][properties][resourceDisplayName]

相关问题