我的过滤器中有以下内容,由于某种原因它只打印电子邮件而不是delivery_status。但是当我注释掉电子邮件时,它会打印发送_status。
有没有办法打印它们而不评论其中任何一个?
filter {
grok {
patterns_dir => ["/etc/logstash/patterns/postfix"]
match => { "message" => "%{EMAIL}" }
match => { "message" => "%{DELIVERY_STATUS}" }
overwrite => [ "message" ]
}
}
我们将不胜感激。
答案 0 :(得分:0)
默认情况下,{GRAPHIC_FILE_1 = "E:/ge work/hyperview scripting/222.rst"}过滤器会在第一次成功匹配时完成。如果要覆盖此行为,请添加以下行:
grok有关详细信息,请查看grok过滤器文档here。