LogstashでのGrokフィルタエラー

Question

私のフィルタには次のようなものがあります。なぜなら、何らかの理由でdelivery_statusではなく電子メールのみが出力されるからです。しかし、私は電子メールをコメントアウトすると、配信_ステータスを表示します。

どちらの方法でもコメントしなくても両方を印刷する方法はありますか？

filter { 
    grok { 
     patterns_dir => ["/etc/logstash/patterns/postfix"] 
     match => { "message" => "%{EMAIL}" } 
     match => { "message" => "%{DELIVERY_STATUS}" } 
     overwrite => [ "message" ] 
    }  

} 

あなたのご協力をお待ちしております。

Answer 1

デフォルトでは、grokフィルタは最初の正常な一致で終了します。 GROKフィルタのドキュメントhereをチェックアウト

break_on_match => false 

さらに参考のために：あなたは、この動作を上書きする場合は、この行を追加します。