我正在按照此博客中的步骤设置 rsyslog + logstash + graylog2,但我不知道如何使用 mutate -> replace 过滤器替换 logstash 中的 @source_host 属性。
在示例中,作者用字符串值替换他的@source_host,但我想使用从本例中的系统日志中解析出的实际值。
mutate {
type => loc1
replace => ["@source_host", "loc1"]
}
mutate {
type => loc2
replace => ["@source_host", "loc2"]
}
我如何在我的日志中实际维护原始源主机?
答案1
如果该字段已经与记录匹配并且可用,那么您可能可以这样做;
mutate {
type => loc2
replace => [ "@source_host","%{this_field}" ]
}
(虽然我之前没有尝试过替换@source_host字段,但请尝试一下并让我们知道结果如何... ;-)