我正在尝试通过从每个服务器rsyslog收集所有日志来使用logstash创建日志集中系统。
但是,每个基本工具(如mail,cron,boot.log
)的格式都不同在将这些日志发送到logstash之前,有没有办法让这些日志在rsyslog中具有相同的格式?
据我所知,每个工具可能都有一些不同的数据。至少,我希望我可以制作独特的格式,并为该工具中没有出现的数据提供“未知”值。
例如。
Cron格式
Feb 5 08:52:01 hostname CROND[19763]: (root) CMD ( test -x /usr/local/etc/snmp/statuscheck.pl && /usr/local/etc/snmp/statuscheck.pl)
消息格式
Feb 5 07:55:27 hostname rsyslogd: the last error occured in /etc/rsyslog.conf, line 12:"$ModLoad omelasticsearch #^M"
如果它们具有相同的格式会很好,所以我只能在logstash配置中过滤一次。