Question

Я пытаюсь написать новый фильтр logstash для событий, происходящих из Wazuh. Как правило, все события устанавливают переменную «% {[rule] [description]}», и я записываю это в поле моего предупреждения Я обнаружил, что одно событие не заполняет эту переменную, поэтому, когда я записываю его в поле предупреждения, я просто получаю% {[rule] [description]} вместо содержимого.

Кто-нибудь знает, как проверить, существует ли переменная в фильтре logstash? Это довольно легко для полей, но не для переменной из того, что я могу собрать до сих пор. Я хотел бы иметь возможность сказать, что переменная не существует, а затем задать для нее строку по своему выбору.

Daniel Moreno · Answer 1 · 20 февраля 2019

Довольно странно получить правило с пустым полем rule.description. Не могли бы вы поделиться со мной идентификатором правила?

В любом случае, фильтр, который вы ищете, следующий:

filter{
    if [rule][description] == '' {
        mutate {
          add_field => [ "rule.description", "VALUE" ]
        }
    }
}

Где вы можете заполнить VALUE желаемой строкой.

Надеюсь, это поможет.

Проверьте, существует ли переменная в Logstash

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Проверьте, существует ли переменная в Logstash

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы