在Logstash中,我试图设置一个条件,如果在名为"json";,如果接收到以"0"开头的新消息;登录尝试*"-发送电子邮件。
这就是我尝试的:
output {
if [log][file][path] =~ "cowrie.json" {
if %{message} =~ "login attempt.*"{
email {
to => 'test@address.com'
subject => 'Honeypot Alert'
body => "Someone interacted with the honeypot!"
domain => 'mail.xconnect.net'
port => 25
}
}
}
}
如果我删除第二个if语句,它就会起作用。是否有人碰巧知道我必须用什么来替换第二个CCD_;登录尝试";?
非常感谢!
编辑:已解决:
if "login attempt" in [message] {
或
if [message] =~ "^login attempt" {