我试图找出它是如何工作的logstash和grok来解析消息。我找到了示例ftp://ftp.linux-magazine.com/pub/listings/magazine/185/ELKstack/configfiles/etc_logstash/conf.d/5003-postfix-filter.conf
从这样开始:
filter {
# grok log lines by program name (listed alpabetically)
if [program] =~ /^postfix.*\/anvil$/ {
grok{...
但是不知道解析[program]的位置。我正在使用logstash 2.2 该示例在我的logstash安装中不起作用,没有解析任何内容。
答案 0 :(得分:1)
我自己回答。
该示例假定事件来自syslog(在这种情况下,字段“program”存在),而不是filebeats,这是我用来将事件发送到logstash。
修复它:
https://github.com/whyscream/postfix-grok-patterns/blob/master/ALTERNATIVE-INPUTS.md