我正在尝试为来自Wazuh的事件编写新的logstash过滤器。通常,所有事件都会设置一个“%{[rule] [description]}”变量,我将其写入警报字段。我发现一个事件没有填充此变量,所以当我将其写入警报字段时,我只会得到%{[rule] [description]}而不是内容。
有人知道如何检查logstash过滤器中是否存在变量吗?对于字段而言,这相当容易,但到目前为止,对于我所能收集到的变量而言,还不是。我想说一下变量是否不存在,然后将其设置为我选择的字符串。
答案 0 :(得分:0)
在rule.description字段为空的情况下获得一条规则是很奇怪的,您能与我分享该规则的ID吗?
无论如何,您要查找的过滤器是以下过滤器:
filter{
if [rule][description] == '' {
mutate {
add_field => [ "rule.description", "VALUE" ]
}
}
}
您可以在其中用所需的字符串填充VALUE。
希望有帮助。