我正在浏览我的ELK堆栈中的一些syslog日志文件,并注意到所有的syslog_severity字段都是'notice',当我可以在日志文件中validation它们不是'注意'的时候。 似乎Logstash默认syslog_severity需要注意。 每当我去kibanasearch,无论我把什么放在logstashfilterconfiguration文件,kibana总是返回严重性通知。 我有这在我的logstashfilterconfiguration:
filter { if [type] == "syslog" { grok { match => { "message" => "%{SYSLOG5424LINE}" } add_field => [ "received_at", "%{@timestamp}" ] add_field => [ "received_from", "%{host}" ] } syslog_pri { syslog_pri_field_name => "syslog5424_pri" } date { match => [ "syslog5424_ts", "ISO8601" ] } } } 我已经看过这里提到的解决scheme,但不要认为这适用于我的情况,如果你看看我的filterconfiguration文件。 我已经尝试了这里提到的解决scheme,并重新启动我的logstash服务
sudo service logstash restart
我也尝试重新启动我的ELK堆栈中的其余服务,仍然得到所有我的syslog_severity字段的通知。 任何想法在filter中需要改变什么?
我的日志消息是这种格式:
<134>1 2015-01-01T11:12:23.180242-02:00 message
我已经在Grokdebugging器中用我的消息testing了这个grok,它parsing我的消息就好了。