Fatal编程技术网
  • logstash/
  • Logstash 如何改善大型贮木场“;“如果声明”;

Logstash 如何改善大型贮木场“;“如果声明”;

logstash

Logstash 如何改善大型贮木场“;“如果声明”;,logstash,Logstash,我的logstash实例正在读取sysmon事件(从nxlog以json提供),并在我操作一些字段后将它们存储在elasticsearch中 我想创建一个新字段,其值基于sysmon事件类型。我可以使用[Task]字段来确定我正在接收哪个系统事件(1到9)。但我最终得到了一个巨大的if/else声明 我希望能够建立一些本地阵列: EventObject=>['process','file','flow','sysmon'] 然后,创建一个新字段,如下所示 mutate { add_fie

我的logstash实例正在读取sysmon事件(从nxlog以json提供),并在我操作一些字段后将它们存储在elasticsearch中

我想创建一个新字段,其值基于sysmon事件类型。我可以使用[Task]字段来确定我正在接收哪个系统事件(1到9)。但我最终得到了一个巨大的if/else声明

我希望能够建立一些本地阵列:

EventObject=>['process','file','flow','sysmon']
然后,创建一个新字段,如下所示

mutate { add_field => {"object" => EventObject[$Task]}}
相反,我有这个

if [Task] == 1 { 
       mutate {
        add_field => {"object" => "process"}
       }


   } else if [Task] == 2 {
   mutate{
      add_field => {"object" => "file"}  

   } else if [Task] == 3 {
   mutate{
      add_field => {"object" => "flow"}  

   } else if [Task] == 4 {
         etc....
enter code here
正确的方法是什么?我试图使我的日志存储配置易于阅读,并减少行数。

您想要的。

您想要的