Отформатируйте постфикс в logstash с помощью пересылки logstash

Я настраиваю стек ELK с форвардерами logstash и logstash. В настоящее время я пытаюсь использовать этот шаблон grok для ведения журнала postfix; https://github.com/whyscream/postfix-grok-patterns

В logstash я включил 2 файла, упомянутых в репозитории.

Это то, что находится в моем экспедиторе;

"files": [
  {
    "paths": [ "/var/log/maillog" ],
    "fields": { "type": "postfix" }
  }
]

Это результат, который я получаю обратно;

      "message" => "Jul 18 10:00:05 XXXX postfix/smtp[XXXX]: XXXX: to=<XXXX>, orig_to=<XXX>, relay=XXXXX, delay=0.35, delays=0/0.02/0.09/0.24, dsn=2.0.0, status=sent (250 Ok XXXXX)",
      "@version" => "1",
      "@timestamp" => "2015-07-18T20:17:06.796Z",
      "type" => "postfix",
      "file" => "/var/log/maillog",
      "host" => "XXXX",
      "offset" => "285776"

Я считаю, что упускаю жизненно важную часть. Я думаю, что мне нужно сделать что-то заранее, так как «системные журналы» упоминаются в репозитории и в grok, выполняется проверка программы.

Какой шаг я пропустил? Я использую logstash 1.5.x

Спасибо за вашу помощь!


logstash logstash-forwarder
person P.T.    schedule 18.07.2015    source источник
comment
files? это ввод file? что означает поскольку системные журналы упоминаются?   -  person Roshan Mathews    schedule 18.07.2015
comment
файлы 50-filter-postfix.conf и postfix.grok, как указано в репозитории. То же самое для системных журналов, которые также упоминаются в репозитории.   -  person P.T.    schedule 18.07.2015

Ответы (1)


arrow_upward
1
arrow_downward

Это, наконец, сделал трюк

filter {   
  if [type] =~ "postfix" {
    grok {
      match => [ "message", "%{SYSLOGBASE} %{GREEDYDATA:message}" ]
      overwrite => [ "message" ]
    }     
  } 
}
person P.T.    schedule 20.07.2015