如何解决Logstash-如果%{statement}具有“值”
在Logstash中,我试图设置一个条件,如果在名为“ cowrie.json”的文件中,如果收到以“ login try *”开头的新消息,则发送电子邮件。
这是我尝试过的:
output {
if [log][file][path] =~ "cowrie.json" {
if %{message} =~ "login attempt.*"{
email {
to => 'test@address.com'
subject => 'Honeypot Alert'
body => "Someone interacted with the honeypot!"
domain => 'mail.xconnect.net'
port => 25
}
}
}
}
如果我删除第二条if
语句,它将起作用。有人碰巧知道我必须替换第二条if
语句,以便它仅适用于以“登录尝试”开头的整个/消息吗?
非常感谢!
解决方法
编辑:已解决:
if "login attempt" in [message] {
或
if [message] =~ "^login attempt" {
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。