4

概要: 送信 smtp サーバーがいくつかあり、rsyslog を介して、logstash を使用しているサーバーにメール ログを集中化し、elasticsearch に出力し、kibana で検索しています。

次のようなPostfixメールログエントリに「BOUNCED」としてタグ付けしたいと思います:

2013-02-01T16:50:14+02:00 XXSMTPXX postfix/smtp[10879]: BC54A65BD4: to=<xxxx.yyyyyy@zzzz.com.t>, relay=none, delay=0.3, delays=0.01/0/0.29/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=gozdesigorta.com.t type=AAAA: Host not found)

logstash.conf で使用した grok フィルターは次のようになります。

grok {
    patterns_dir => "/etc/logstash/patterns"
    tags    => "postfix/bounce"
    pattern => "%{POSTFIXBOUNCE}"
    add_tag => "BOUNCED"
    named_captures_only => true
}

私が使用しているパターンファイルはhttps://gist.github.com/4691822です

これらのログ行に BOUNCED のタグを付けることができませんでした...何が足りないのですか?

4

1 に答える 1

1

パターンを次のように変更しました。

%{TIMESTAMP_ISO8601} %{HOST} %{SYSLOGPROG}: %{QUEUEID}: to=<%{EMAILADDRESS:to}>, relay=%{RELAY}, delay=%{POSREAL:delay}, delays=%{DELAYS}, dsn=%{DSN}, status=%{STATUS} %{GREEDYDATA:reason}

今、私は理解することができます;)

于 2013-02-02T22:23:22.190 に答える