Graylog에서 추출기를 사용하려고하면 패턴 일치를 한 소스로 제한하는 방법을 찾을 수 없습니다.Graylog; 추출기 응용 프로그램을 소스의 하위 집합으로 제한하는 방법
기본적으로 필드를 추출하는 인덱스 검색은 &입니다. 그러나이 추출기를 원본 소스의 하위 집합에만 사용해야합니다. 설명서가 적합하지 않은 것으로 보입니다.
아이디어가 있으십니까? 이 쉽게 수행 할 수없는 것처럼
감사 루이
보인다. 두 가지 옵션이 있습니다 : 파이프 라인과 별도의 입력. 분명히, 당신이 다른 입력에서 다른 소스를 포착한다면 당신은이 문제를 예방할 것입니다.
둘째 해결 방법은 파이프 라인을 사용하는 것입니다 (v2 시점). 여기에 the author confirming this :
파이프 라인 규칙을 사용하여 Graylog 2.0부터 가능합니다. http://docs.graylog.org/en/2.1/pages/pipelines.html
추신 전체 메시지를 저장하고 추출하는 것이 가능하다고 생각했지만 추출 전에 json을 먼저 자르는 방법을 파악할 수 없었습니다. (Graylog에 시스템 로그를 통해 로그를 전송)과 같이 보일 수있는 고정 표시기 용기에서 오는 샘플 메시지 :
<30>1 2016-11-26T22:22:38.951321+01:00 www.example.com docker 19459 - - {"name":"my-awesome-app","hostname":"docker24.example.com","pid":1,"level":30,"msg":"happily serving customers","time":"2016-11-26T21:22:38.950Z"}
그래서 전체 필드는 적절한 JSON하지 않고 Graylog JSON 추출기는 실패합니다. 당신은 여기에 소스가 있습니다 - www.example.com, 그래서 일치하는 경우에만 실행되도록 추출기를 구성 할 수 있습니다. 그렇다면 질문은 JSON 섹션 만 구문 분석하는 방법입니다.
감사합니다. 우리는 기본적으로 Syslog를 단일 입력으로 사용합니다. 다른 포트를 사용하여 syslog를 통해 소스를 직접 분리하려고 시도합니다. 파서가 쓸모없는 데이터를 파싱하는 것을 원하지 않기 때문에 단순한 방법으로 보입니다. –