<img src="//i.stack.imgur.com/RUiNP.png" height="16" width="18" alt="" class="sponsor tag img">elasticsearch Logstash-如果%{statement}有；“价值”；_<img Src="//i.stack.imgur.com/RUiNP.png" Height="16" Width="18" Alt="" Class="sponsor Tag Img">elasticsearch_Logstash_Kibana_Elastic Stack_Grok

elasticsearch Logstash-如果%{statement}有；“价值”；

logstash kibana

elasticsearch Logstash-如果%{statement}有；“价值”；,elasticsearch,logstash,kibana,elastic-stack,grok,elasticsearch,Logstash,Kibana,Elastic Stack,Grok,在Logstash中，我试图设置一个条件，如果在名为“cowrie.json”的文件中收到一条以“login-trument*”开头的新消息，则发送一封电子邮件这就是我所尝试的： output { if [log][file][path] =~ "cowrie.json" { if %{message} =~ "login attempt.*"{ email { to => 'test@address.com'

在Logstash中，我试图设置一个条件，如果在名为“cowrie.json”的文件中收到一条以“login-trument*”开头的新消息，则发送一封电子邮件

这就是我所尝试的：

output {
  if [log][file][path] =~ "cowrie.json" {
  if %{message} =~ "login attempt.*"{
    email {
      to => 'test@address.com'
      subject => 'Honeypot Alert'
      body => "Someone interacted with the honeypot!"
      domain => 'mail.xconnect.net'
      port => 25
    }
  }
 }
}

如果我删除第二条

If

语句，它就会工作。有人知道我必须用什么替换第二个

if

语句，以便它只适用于以“登录尝试”开头的实体/消息吗

非常感谢

编辑：已解决：

 if "login attempt" in [message] {

或

 if [message] =~ "^login attempt" {