我想检查我的日志中的源ip是否在我的子网内,并返回值true。如果它不在我的子网内,那么我想要给出一个值false。
filter
{
translate {
field => IP
dictionary => /path
destination => status
}
}
我知道我们可以将IP字段值与字典中的值匹配,但我不知道该怎么做。
就像我的DC的IP大多在172.17.2.0到172.17.6.255之间,我正在监控他们的流量。 只有当IP地址不在我的DC范围内时才能记录日志,以便我可以检查外部流量。在其他意义上,我想关注外部流量。