3

我们有一个设置,程序以遵循 GELF 规范的格式记录到 .Json 文件。

目前,这是使用 HTTP 发送到 Graylog2 服务器的。这可行,但由于 HTTP 的性质,存在很大的延迟,如果有大量日志消息,这是一个问题。

我想将 HTTP 传递方法更改为 UDP,以便“触发并忘记”。

日志被写入这样的文件:

{ "short_message": "<message>", "host": "<host>", "full_message": "<message>", "_extraField1": "<value>", "_extraField2": "<value>", "_extraField3": "<value>" }

目前的配置是这样的:

<Extension json>
    Module xm_json
</Extension>

<Input jsonLogs>
    Module        im_file
    File          '<File Location>'
    PollInterval  5
    SavePos       True
    ReadFromLast  True
    Recursive     False
    RenameCheck   False
    CloseWhenIdle True
</Input>

<Output udp>
    Module        om_udp
    Host          <IP>
    Port          <Port>
    OutputType    GELF_UDP
</Output>

通过此设置,部分 json 日志消息被添加到 GELF 消息的“消息”字段,并发送到服务器。

我尝试添加行 `Exec parse_json(),但这只会导致除 short_message 和 full_message 之外的所有字段被排除。

我不确定如何正确配置它。即使只是将完整的日志消息添加到字段中也是可取的,因为我可以在服务器端添加一个提取器。

4

1 回答 1

0

您需要Exec parse_json()GELF_UDP 生成正确的输出,但不清楚确切的问题是messagefull/short_message.

您可以尝试的另一种选择是简单地通过om_tcp. 在这种情况下,您不需要使用OutputType GELF_TCP它,因为它已经以这种方式格式化。

于 2018-01-10T08:34:32.123 回答