Ray*_*uez 5 logging syslog rsyslog graylog
我正在按照此博客中的步骤设置 rsyslog + logstash + graylog2,但我无法弄清楚如何使用 mutate -> 替换过滤器替换 logstash 中的 @source_host 属性。
在示例中,作者将他的 @source_host 替换为字符串值,但我想使用在这种情况下从系统日志解析的实际值。
mutate {
type => loc1
replace => ["@source_host", "loc1"]
}
mutate {
type => loc2
replace => ["@source_host", "loc2"]
}
如何在我的日志中实际维护原始源主机?
如果该字段已与记录匹配并且可用,那么您也许可以执行此操作;
mutate {
type => loc2
replace => [ "@source_host","%{this_field}" ]
}
(虽然我之前没有尝试过替换 @source_host 字段,但尝试一下并让我们知道它是如何进行的......;-)