0
私はElastic stackを使用しています。私のLogstashによって解析されるメッセージがたくさんあります。私はLogstashのいくつかの追加ルールを追加することに決めました。 syslogの重大度のマッピングを作成したいので、LogstashにSyslog pri pluginをインストールしました。Logstash:syslog_priプラグインの使い方
私のメッセージのすべてがどこerrorメッセージ、RFC-3164に応じsyslog_pri値を持っている "(3、11、19、...、187)" syslog_priの値を持っています。
1)Kibana経由で照会することは使用できないので、それは私にとって非常に利用可能ではありません。
まあ、私は2つの問題を抱えています。私はエラーをフィルタリングする場合は、次のようになります。
syslog_pri: (3 OR 11 OR 19 OR 27 OR 35 OR 43 OR 51 OR 59 OR 67 OR 75 OR 83 OR 91 OR 99 OR 107 OR 115 OR 123 OR 131 OR 139 OR 147 OR 155 OR 163 OR 171 OR 179 OR 187)
が、それはsyslog_priプラグインを使用してはるかに簡単になります。
syslog_pri: "error"
どういうわけか、このマッピングを作成することはできますか?
2)いくつかの特定のメッセージに対してこのsyslog_priの値を変更したいと思います。 たとえば、「Hello world」のようなメッセージを受け取り、重大度を14(情報メッセージ)から11(エラーメッセージ)に変更したいとします。
私はこのような何かやってる:
filter {
grok {
match => { "message" => "..." }
}
syslog_pri { }
if "Hello world" in [message]
{
mutate { syslog_pri => 11 }
}
をしかし、これはエラーで失敗しました: logstash.filters.mutate - Unknown setting 'syslog_pri' for mutate
提案?