我正在使用Logstash处理一些流数据。现在,我在使用条件标记数据时遇到了一个问题。
如果我在logstash配置中编写以下内容
if [myfield] == "abc"{ mutate { add_tag => ["mytag"] } }
else { mutate { add_tag => ["not_working"] } }
一切正常,但现在我想使用像
这样的列表if [myfield] is in ["abc"]{ mutate { add_tag => ["mytag"] } }
else { mutate { add_tag => ["not_working"] } }
并且只获得一个not_working标记。
有什么建议吗?提前谢谢!
答案 0 :(得分:3)
似乎数组/列表中必须有多个值。你可以只复制像
这样的唯一值if [myfield] in ["abc", "abc"] { mutate { add_tag => ["mytag"] } }
else { mutate { add_tag => ["not_working"] } }
它工作正常。
答案 1 :(得分:1)
这确实是一个错误,这里是Github的链接:https://github.com/elastic/logstash/issues/9932