1. ホーム
  2. 質問と答え
  3. 出力のフィールド値を置き換えるlogstash mutate

出力のフィールド値を置き換えるlogstash mutate

2016-09-25 41 views
0

私はlogstash設定で10.100.251.98を別のIP 10.100.240.199に置き換えようとしていますが、mutate関数でフィルタを使用しようとしましたが、構文を取得できませんwrtie出力のフィールド値を置き換えるlogstash mutate

Sep 25 15:50:57 10.100.251.98 mail_logs: Info: New SMTP DCID 13417989 interface 172.30.75.10 address 172.30.75.12 port 25 
Sep 25 15:50:57 10.100.251.98 local_mail_logs: Info: New SMTP DCID 13417989 interface 172.30.75.10 address 172.30.75.12 port 25 
Sep 25 15:51:04 10.100.251.98 cli_logs: Info: PID 35559: User smaduser login from 10.217.3.22 on 172.30.75.10 
Sep 25 15:51:22 10.100.251.98 cli_logs: Info: PID 35596: User smaduser login from 10.217.3.22 on 172.30.75.10

ここでは私のコードです:

input { file { path => "/data/collected" } } 

filter { 
    if [type] == "syslog" { 
     mutate { 
     replace => [ "@source_host", "10.100.251.99" ] 
     } 
    } 
} 

output { 

    syslog { 
     facility => "kernel" 
     host => "10.100.250.199" 
     port => 514 
    } 
}

出典

2016-09-25 Deano

答えて

1

私はあなたの設定についていくつかのことに気付いています。まず、ログの解析を行いません。フィールドがまだ存在しない場合、フィールドを置き換えることはできません。これを行うには、入力ブロックにcodec、またはgrok filterを使用します。私は単純なgrokフィルタを追加しました。

if [type] == "syslog"にもチェックを入れます。タイプは決して決して決して決して失敗しません。タイプを設定する場合は、入力ブロックでそれを行うことができます。input { file { path => "/data/collected" type => "syslog} }

ここでは、grokパターンのテストとIPの置換に使用したサンプル設定を示します。

これを出力 
input { tcp { port => 5544 } } 

filter { 
    grok { match => { "message" => "%{CISCOTIMESTAMP:log_time} %{IP:@source_host} %{DATA:log_type}: %{DATA:log_level}: %{GREEDYDATA:log_message}" } } 
    mutate { 
     replace => [ "@source_host", "10.100.251.199" ] 
    } 
} 

output { 
    stdout { codec => rubydebug } 
} 


{ 
     "message" => "Sep 25 15:50:57 10.100.251.98 mail_logs: Info: New SMTP DCID 13417989 interface 172.30.75.10 address 172.30.75.12 port 25", 
     "@version" => "1", 
     "@timestamp" => "2016-09-25T14:03:20.332Z", 
      "host" => "0:0:0:0:0:0:0:1", 
      "port" => 52175, 
     "log_time" => "Sep 25 15:50:57", 
    "@source_host" => "10.100.251.199", 
     "log_type" => "mail_logs", 
     "log_level" => "Info", 
    "log_message" => "New SMTP DCID 13417989 interface 172.30.75.10 address 172.30.75.12 port 25" 
}

出典

2016-09-25 14:08:01 fylie

関連する問題

 関連する問題