grokを使ったポストフィックスイベント

Question

どのようにlogstashとgrokがメッセージを解析するかを理解しようとしています。

filter { 
    # grok log lines by program name (listed alpabetically) 
    if [program] =~ /^postfix.*\/anvil$/ { 
     grok{... 

しかし、[プログラム]が解析されるかを理解していない：私はその例のように起動しftp://ftp.linux-magazine.com/pub/listings/magazine/185/ELKstack/configfiles/etc_logstash/conf.d/5003-postfix-filter.conf

発見しました。私はlogstash 2.2を使用しています。 その例は、私のlogstashインストールでは動作しません。何も解析されません。

Answer 1

私は自分自身に答える。

この例では、イベントがsyslog（この場合は「program」というフィールドがあります）から来ていると仮定しています。代わりに、私がイベントをlogstashに送るために使用しているものです。

https://github.com/whyscream/postfix-grok-patterns/blob/master/ALTERNATIVE-INPUTS.md

：修正 - それをするには