我正在尝试通过从每个服务器 rsyslog 收集所有日志来使用 logstash 制作日志集中系统。
但是,每个基本工具(如 mail、cron、boot.log)之间的格式不同
有没有办法让这些类型的日志在 rsyslog 中都具有相同的格式,然后再发送到 logstash?
我了解每个工具可能有一些不同的数据。至少,我希望我可以制作独特的格式并为该工具中未出现的数据赋予“未知”值。
例如。
cron 格式
Feb 5 08:52:01 hostname CROND[19763]: (root) CMD ( test -x /usr/local/etc/snmp/statuscheck.pl && /usr/local/etc/snmp/statuscheck.pl)
消息格式
Feb 5 07:55:27 hostname rsyslogd: the last error occured in /etc/rsyslog.conf, line 12:"$ModLoad omelasticsearch #^M"
如果它们具有相同的格式会很好,所以我只能在 logstash 配置中过滤一次。