Если условие в обратном вызове Emal - Graylog Opensoure

Question

Любой, у кого есть опыт в настройке обратного вызова электронной почты на Graylog, пожалуйста, сообщите мне об этом случае. В журнале, который мы получаем, есть поле: protocol-id. Теперь я могу использовать его по электронной почте с помощью синтаксиса:

${message.fields.protocol-id}. 

Но значение этой заявки - номер. Я хочу изменить его на строку. Даю пример:

if (protocol-id = 17) protocol-id = 'UDP'. 

Стараюсь код, как показано ниже, но я не получаю ничего:

${if ${message.fields.protocol-id}==17}Protocol-Attack: UDP 

Как я могу решить это дело ???

Answer 1

Вы можете создать поток, который содержит только те сообщения (например, добавив правило потока «Поле protocol-id должно быть равно 17»), назовите его «Protocol-Attack: UDP», а затем создайте условие предупреждения для этого который будет срабатывать, если в этом потоке есть сообщения.