Parsing Postfix-Ereignisse mit grok

Ich versuche herauszufinden, wie es logstash und grok funktioniert, um Nachrichten zu analysieren. Ich habe das Beispiel ftp://ftp.linux-magazine.com/pub/listings/magazine/185/ELKstack/configfiles/etc_logstash/conf.d/5003-postfix-filter.conf Parsing Postfix-Ereignisse mit grok

gefunden, die wie folgt beginnen:

filter { 
    # grok log lines by program name (listed alpabetically) 
    if [program] =~ /^postfix.*\/anvil$/ { 
     grok{...

aber nicht verstehen, wo [Programm] analysiert wird. Ich benutze Logstash 2.2 Dieses Beispiel funktionieren nicht in meiner Logstash-Installation, nichts wird geparst.

Quelle

2016-03-29 Miquel Àngel

Ich antworte mir.

Das Beispiel geht davon aus, dass die Ereignisse von syslog kommen (in diesem Fall ist das Feld "program" vorhanden), stattdessen filebeats, was ich benutze, um die Ereignisse an logstash zu senden.

Um Fix-it:

https://github.com/whyscream/postfix-grok-patterns/blob/master/ALTERNATIVE-INPUTS.md

Quelle

2016-03-29 07:57:06

Parsing Postfix-Ereignisse mit grok

Antwort

Verwandte Themen