我们正在将 Apache 访问日志发送到 Graylog (2.1.1)。我们有 70 多个网站,我想为所有导致 5xx 响应的请求构建一个快速值图表。目前,当我创建上述图表时,www.somedomain.com 和 somedomain.com 是分开处理的,我想合并同一网站的这两个变体的计数。因此,如果 5xx 错误的计数为:
www.somesite.com 10
somesite.com 5
www.someother.com 3
someother.com 4
快速图表将包含以下内容:
somesite.com 15
someother.com 7
我该如何实现呢?
提前致谢。
答案1
您可以添加一个 grok 过滤器(就像www.%{HOST}|%{HOST}提取器一样)来为“site_hostname”分离出一个新值,然后使用该值进行过滤。