grok

Question

ile postfix olaylarını ayrıştırma

İletileri ayrıştırmak için logstash ve grok'un nasıl çalıştığını anlamaya çalışıyorum.

filter { 
    # grok log lines by program name (listed alpabetically) 
    if [program] =~ /^postfix.*\/anvil$/ { 
     grok{... 

Ama [Program] ayrıştırılır nerede anlamıyorum: Ben örnek şöyle başlamak ftp://ftp.linux-magazine.com/pub/listings/magazine/185/ELKstack/configfiles/etc_logstash/conf.d/5003-postfix-filter.conf

bulduk. Logstash kullanıyorum 2.2 Bu örnek benim logstash yüklemede çalışmıyor, hiçbir şey ayrıştırılır.

Answer 1

Kendime cevap veriyorum.

Örnek, olayların syslog'dan geldiğini varsayar (bu durumda "program" alanı bulunur), bunun yerine olayları logstash'a göndermek için kullandığım dosyalardır.

fix-it için:

https://github.com/whyscream/postfix-grok-patterns/blob/master/ALTERNATIVE-INPUTS.md