我正在按照这个博客中的步骤设置rsyslog + logstash + graylog2,我无法弄清楚如何使用mutate – > replacefilterreplacelogstash中的@source_host属性。
在例子中,作者用一个string值replace了他的@ source_host,但是我想使用在这种情况下parsing的实际值syslog。
mutate { type => loc1 replace => ["@source_host", "loc1"] } mutate { type => loc2 replace => ["@source_host", "loc2"] } 我如何真正维护我的日志中的原始源主机?
如果该字段已经与logging匹配,并且可用,那么您可能可以执行此操作;
mutate { type => loc2 replace => [ "@source_host","%{this_field}" ] }
(虽然我还没有试过将@source_host字段replace掉,但试试看,让我们知道它是如何去的; 😉
博客?