在当前的设置中,我使用 Telegraf 从 syslog 中提取 nginx 日志并将其输出到 influxdb。效果很好。
Telegraf 支持 grok 日志解析。据我所知,它可以被[[inputs.file]]和 调用[[processors.parser]]。
如何配置 telegraf 以[[inputs.syslog]]使用 grok 解析每个传入日志语句的消息部分?
我尝试了以下配置,但不起作用。我没有收到任何来自 telegraf 的错误或消息,输出也没有任何变化:
# [...] Boilerplate omitted for brevity
# Accept input from syslog
[[inputs.syslog]]
server = "tcp://:2010"
# Send metrics to InfluxDB
[[outputs.influxdb]]
urls = ["http://our_influx.com"]
username = "admin"
password = "admin"
# Process logs with grok
[[processors.parser]]
parse_fields = ["message"]
drop_original = true
merge = "override"
data_format = "grok"
grok_patterns = ["%{COMBINED_LOG_FORMAT}"]