我需要通过td-agent将所有带有删除消息的日志从dovecot发送到elasticsearch。我要发送过滤的内容。例如,我需要一些字符串:
8月10日04:58:01 srv85 鸽舍: imap ( inbox@domain.com ):删除:box = INBOX.Trash,uid = 5394,msgid =?
和
8月10日04:56:47 srv85 鸽舍: imap ( inbox@domain.com ):删除:box = INBOX.Trash,uid = 5934,msgid = <1ec5d5f604e886041cf215bdfd38ec55@technologyhop.in.net>,大小= 17595
和(对于POP3删除,使用grep dovecot /var/log/maillog | grep pop3 | grep del | grep -v 'del=0/'命令以bash过滤):
8月10日05:06:11 srv85 鸽舍: pop3 ( inbox@domain.com ):断开连接:注销top = 0 / 0,retr = 3/43485, del = 7/69 ,大小= 5859315,字节= 107/46107
所有其他信息都必须删除。
如何配置tg-agent过滤器以获取此字符串?
P.S。在我们的情况下,Logtash不能使用