我是Graylog管道规则的新手。我想编写一条管道来跳过索引中查找表中不存在的键。
我们有20个IP地址作为键,有4个区域作为值。我们从源头接收了100多个IP地址。我只想索引查找表中的10个现有IP地址。
CSV文件:
"IP_Address","region"
"IP1","region1"
"IP2","region4"
"IP3","region3"
"IP4","region1"
"IP5","region2"
"IP6","region4"
"IP7","region1"
我尝试使用以下许多功能。
选项1:规则“查找IP地址”
when
is_null(lookup_value("IP_Addr_table", IP_Address))
then
drop_message();
end
选择2:分两个阶段尝试
阶段:0
规则“查找区域”
when
has_field("region")
then
let device_region = lookup_value("IP_addr_table", to_string($message.IP_Address));
end
阶段:1
规则“查找区域”
when
has_field("device_region") -- I want to check the variable value here.
then
end
此外,除了Graylog文档以外,谁能提供一个学习管道以及如何使用规则的好地方
答案 0 :(得分:0)
仅供参考-Graylog社区提出了相同的问题:
https://community.graylog.org/t/pipeline-rule-to-stop-indexing-for-non-lookup-values/9580
我的回答将在那个地方给出。