我成功使用后缀在 Debian 上转发我的内部电子邮件,我将 mail.log 文件中的日志发送到Logstash例如,我正在展示它们基巴纳要查找的仪表板没送到和退回电子邮件。
我遇到的问题是 Postfix 发送有关已发送电子邮件的信息多条日志行, 例如:
Oct 9 18:19:58 mailserver postfix/smtpd[11513]: 7958440AA2: client=client.fqdn[123.123.123.123]
Oct 9 18:19:59 mailserver postfix/cleanup[11518]: 7958440AA2: message-id=<>
Oct 9 18:19:59 mailserver postfix/qmgr[26050]: 7958440AA2: from=<[email protected]>, size=841, nrcpt=1 (queue active)
Oct 9 18:19:59 mailserver postfix/smtpd[11513]: disconnect from client.fqdn[123.123.123.123] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Oct 9 18:20:10 mailserver postfix/smtp[11519]: 7958440AA2: to=<[email protected]>, relay=relay.fqdn[111.111.111.111]:25, delay=12, delays=1/0.01/10/1.3, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 1F2BF9679C4)
Oct 9 18:20:10 mailserver postfix/qmgr[26050]: 7958440AA2: removed
在 Kibana 上,我使用状态=标签,以查明消息是否已成功传递,但这样我就会丢失有关发件人的信息,该信息显示在 Postfix 的另一行日志中。
有没有办法让 Postfix 插入来自=标签也放入同一条日志行中成功=标签?
或者,有没有办法将多个日志“合并”到 Logstash 中,以便同时拥有来自=和成功=标签放入 Kibana 仪表板?
答案1
您可以使用aggregateLogstash 的插件从多行输入中提取数据queue-id。此方法的一些示例可在Github