-1

任何有关于配置电子邮件回调的经验的人Graylog,请告诉我这个案例。在我们收到的日志中有字段:protocol-id。现在我可以通过使用语法在电子邮件中使用它:

${message.fields.protocol-id}.

但是这个字段的值是数字。我想把它改成字符串。我举个例子:

if (protocol-id = 17) protocol-id = 'UDP'.

我尝试如下代码,但我没有得到任何东西:

${if ${message.fields.protocol-id}==17}Protocol-Attack: UDP

我该如何解决这个案子???

4

1 回答 1

0

您可以创建仅包含这些消息的流(例如,通过添加流规则“字段protocol-id必须等于 17”),将其称为“协议攻击:UDP”,然后为该特定流创建将触发的警报条件如果此流中有任何消息。

于 2016-09-12T08:08:47.410 回答