logstash 和 rsyslog 发送错误的主机名

tag-icon tag-icon linux rsyslog elasticsearch logstash kibana
logstash 和 rsyslog 发送错误的主机名

我正在建立一个包含两个虚拟机的集中式日志系统。

  • 记录器,充当中央系统日志收集器(使用 rsyslog)和 Logstash 处理器;
  • 搜索器,充当 Elasticsearch 和 Kibana 主机。

我将 Wifi 控制器的系统日志发送到记录器,并归档到 /var/log/remote/wificontroller/*.log

Logstash 正在处理这些日志,并且它们出现在 Kibana 中。

但是,当日志出现在 Kibana 中时,它们的主机名都是“logger”,而不是“wificontroller”。我怎样才能使用正确的主机名发送它们?

非常感谢,詹姆斯

答案1

你需要一个筛选进入配置文件变异处理过程中的事件:

filter {
  mutate {
    replace => [ "source", "%{wifi_controller}" ]
    }
}

我不知道你的事件是如何构造的,但如果控制器主机名不在特定字段中,你可能必须解剖或者格罗克日志。

相关内容