如何改进庞大的Logstash "If语句“
如何改进庞大的Logstash "If语句“
提问于 2016-03-01 15:15:19
我的logstash实例正在读取sysmon事件(从nxlog以json提供),并在操作一些字段后将它们存储在elasticsearch中。
我想要创建一个基于sysmon事件类型的值的新字段。我可以使用字段任务来确定我正在接收的sysmon事件(1到9)。但我最后得到了一个巨大的if/ with语句。
我希望能够建立一些本地数组:
EventObject=>['process','file','flow','sysmon']然后,使用以下内容创建一个新字段
mutate { add_field => {"object" => EventObject[$Task]}}相反,我有这个
if [Task] == 1 {
mutate {
add_field => {"object" => "process"}
}
} else if [Task] == 2 {
mutate{
add_field => {"object" => "file"}
} else if [Task] == 3 {
mutate{
add_field => {"object" => "flow"}
} else if [Task] == 4 {
etc....
enter code here怎样才是正确的方法?我试图使我的logstash配置易于阅读和减少行数。
回答 1
Stack Overflow用户
回答已采纳
发布于 2016-03-01 18:04:36
你想要平移滤波器。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/35726585
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号