0
У меня есть много хост-машин, которые будут регистрироваться через визуализацию стека ELK (~ 1000 машин). Поэтому мне нужно сделать этот раздел apprx. 1000 раз, как показано ниже.Если заявление в ELK Stack Filter и Output Part
filter {
if [host] =~ /10\.1\.1\.5/ {
grok {
add_tag => [ "firewall" ]
match => [ "message", "<(?<evtid>.*)>(?<datetime>(?:Jan(?:uary)?|Feb(?:ruary)?|Mar(?:ch)?|Apr(?:il)?|May|Jun(?:e)?|Jul(?:y)?|Aug(?:ust)?|Sep(?:tember)?|Oct(?:ober)?|Nov(?:ember)?|Dec(?:ember)?)\s+(?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9]) (?:2[0123]|[01]?[0-9]):(?:[0-5][0-9]):(?:[0-5][0-9])) (?<prog>.*?): (?<msg>.*)" ]
}
mutate {
gsub => ["datetime"," "," "]
}
date {
match => [ "datetime", "MMM dd HH:mm:ss" ]
timezone => "Europe/Istanbul"
}
mutate {
replace => [ "message", "%{msg}" ]
}
mutate {
remove_field => [ "msg", "datetime" ]
}
}
}
, и этот выходной раздел снова ~ 1000 раз
output {
if [host] =~ /10\.1\.1\.5/ {
elasticsearch { host => localhost }
}
}
Я хотел бы сделать, если заявление, как это Как я могу это сделать, AND, OR и т.д.?
if [host] =~ /10\.1\.1\.5/ && /10\.1\.1\.6/ && /10\.1\.1\.7/ && /10\.1\.1\.8/ ... {}
Или любая идея другого способа сделать это.?