要求是从原始日志中提取 IP 地址并放入系统日志标头中。尝试了不同的方法,但不起作用,有什么想法吗?我试过使用正则表达式,但似乎 $1 $2 在我放置标志后不起作用
答案1
这是什么样的日志信息?在最近的版本中,有很多不同的可能性来使用 syslog-ng 解析消息内容,例如 JSON、键值列表、CSV 等等。
如果你只想使用正则表达式,请尝试使用条件重写规则,并在条件中设置 flags("store-matches") 选项。例如:
rewrite r_rewrite_set{set("<something-referencing-the-match>", value("HOST") condition(message("<regexp-to-find-IP>" flags("store-matches")));};