我在用弹性堆叠。我的Logstash解析了很多信息。我决定为Logstash添加一些额外的规则。我已经将Syslog pri插件安装到我的Logstash中,因为我想为syslog的严重性级别创建一些映射。
根据RFC-3164,我的所有消息都有RFC-3164值,其中error消息具有syslog_pri的"(3,11,19,…,187)“值。
我有两个问题:
1)对我来说,它不是很有用,因为通过Kibana查询是不可用的。当我想要过滤错误时,它看起来如下:
syslog_pri: (3 OR 11 OR 19 OR 27 OR 35 OR 43 OR 51 OR 59 OR 67 OR 75 OR 83 OR 91 OR 99 OR 107 OR 115 OR 123 OR 131 OR 139 OR 147 OR 155 OR 163 OR 171 OR 179 OR 187)但是使用syslog_pri插件就容易多了。我希望有这样的东西:
syslog_pri: "error"是否有可能以某种方式创建此映射?
2)我想为一些特定的消息更改这个syslog_pri值。例如,我正在捕获类似于"Hello“的消息,并希望将严重性从14 (info消息)更改为11 (错误消息)。
我在做这样的事情:
filter {
grok {
match => { "message" => "..." }
}
syslog_pri { }
if "Hello world" in [message]
{
mutate { syslog_pri => 11 }
}但是这个错误失败了:logstash.filters.mutate - Unknown setting 'syslog_pri' for mutate
有什么建议吗?
发布于 2017-07-21 13:44:47
要使用syslog_pri过滤器,只需有一个值的字段,然后由过滤器解码。如果您有一个已经命名为syslog_pri的字段,那么使用它就像
syslog_pri { } 在您的日志存储配置中。
此插件将创建4个附加字段,其中将包含已解码的syslog_pri信息:
对于突变字段,语法如下。
mutate {
replace => { "syslog_pri" => "11"}
}https://stackoverflow.com/questions/45172032
复制相似问题