我正在浏览我的ELK堆栈中的一些syslog日志文件,并注意到所有的syslog_severity字段都是'notice',当我可以在日志文件中validation它们不是'注意'的时候。 似乎Logstash默认syslog_severity需要注意。 我有这在我的logstashfilterconfiguration:
filter { if [type] == "syslog" { grok { match => { "message" => "<%{NONNEGINT:syslog_pri}>%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" } add_field => [ "received_at", "%{@timestamp}" ] add_field => [ "received_from", "%{host}" ] } syslog_pri { } date { match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] } } } 我已经看过这里提到的解决scheme,但不要认为这适用于我的情况,如果你看看我的filterconfiguration文件。 我已经尝试了这里提到的解决scheme,并重新启动我的logstash服务
sudo service logstash restart
我也尝试重新启动我的ELK堆栈中的其余服务,仍然得到所有我的syslog_severity字段的通知。 任何想法在filter中需要改变什么?
我的日志消息是这种格式:
<134>1 2015-01-01T11:12:23.180242-02:00 message