弹性搜索 - 从规则中排除IP地址

时间:2018-01-02 12:41:59

标签: regex elasticsearch logstash kibana elastic-stack

我需要帮助才能在规则中排除IP#。

此规则监视firewall_rejects。我从这开始:

filter:
- regexp:
** ip_address: "^(?!192.168.0.2).*$"**

我不需要此规则中IP#192.168.0.2的提醒或电子邮件,我该怎么办?

1 个答案:

答案 0 :(得分:0)

使用query DSL Regexp Query它应该像这样匹配"除"之外的所有内容你的IP。 

{
    "regexp": {
        "ip_address": {
            "value": "@&~(192\.168\.0\.2)",
            "flags": "ANYSTRING"
        }
    }
}
相关问题
最新问题