用LogStash解析Fortimail的多类型日志
用LogStash解析Fortimail的多类型日志
提问于 2014-06-25 08:38:25
我想知道是否可以为相同的日志源解析几种类型的日志。例如,对于两种不同的类型,我有两个不同的日志:
- 类型=统计: 日期=2012-07-16 time=12:22:56 device_id=FE100C3909600504 log_id=0200001075 type=statistics pri=information session_id=“q6GJMuPu003642-q6GJMuPv 003642”client_name="172.20.140.94“ dst_ip="172.20.140.92“from="user@external.lab”to="user5@external.lab“subject=”mailer="mta“resolved="OK”direction=“中的”virus="“disposition=”拒绝“classifier=”收件人验证 message_length="188“
- type =垃圾邮件 日期=2012-07-16 time=12:22:56 device_id=FE100C3909600504 log_id=0300001075 type=spam pri=information session_id=“q6GJMuPu003642-q6GJMuPv 003642”client_name="172.20.140.94“dst_ip="172.20.140.92”from="user@external.lab“to="user5@external.lab”subject=“msg=”.用户不明“
在过滤器(logstash)中,如何对Fortimail中的每种日志类型执行多个regex操作?
回答 1
Stack Overflow用户
发布于 2014-06-25 09:55:06
试试这个过滤器
filter {
ruby {
code => "
event['type'] = event['message'].split('type=')[1].split(' ')[0]
"
}
if [type] == "statistics" {
grok {
// parsing statistics logs
}
}
if [type] == "spam" {
grok {
// parsing spam logs
}
}
}首先,获取日志的type,然后使用条件if解析不同类型的日志。
希望这能帮到你。:)
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/24403912
复制相关文章
相似问题
腾讯云开发者
