0

Postfix ログからフィールドを解析し、@message複数のフィールドに抽出しようとしています。

メッセージ:

<22>Sep 17 19:12:14 postfix/smtp[18852]: 28D40A036B: to=<test@gmail.com>, relay=192.244.100.25[192.244.100.25]:25, delay=0.13, delays=0.01/0.01/0.09/0.02, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 9030A15D0)

LogStash 出力:

{
  "@source": "syslog://192.244.100.42/",
  "@tags": [
    "_grokparsefailure"
  ],
  "@fields": {
    "priority": 13,
    "severity": 5,
    "facility": 1,
    "facility_label": "user-level",
    "severity_label": "Notice"
  },
  "@timestamp": "2013-09-17T17:12:06.958Z",
  "@source_host": "192.244.100.42",
  "@source_path": "/",
  "@message": "<22>Sep 17 19:12:14 postfix/smtp[18852]: 28D40A036B: to=<test@gmail.com>, relay=192.244.100.25[192.244.100.25]:25, delay=0.13, delays=0.01/0.01/0.09/0.02, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 9030A15D0)",
  "@type": "syslog"
}

grok パーサーを使用しようとしましたが、データが@messageフィールドに残ります。syslog パーサーを正規表現で使用したい。

@messageフィールドを解析するには、どのような手順を実行すればよいですか?

4

2 に答える 2

0

出力に _grokparsefailure があるという事実は、ログの解析に問題があることを示しています。構成で使用している grok フィルターは何ですか?

于 2013-10-03T04:18:33.257 に答える