Logstashからsyslog転送されるときのフォーマット

logstashでoutputにsyslogを指定した際、転送先のサーバーでログに出力されるフォーマットの変更方法についてご教示ください

■実施内容

●logstashのconfファイル
input {
file{
path => "/tmp/test.log"
start_position => "beginning"
}
}
output{
syslog{
host => "XXXXXXXX.com"
port => 6514
ssl_cert => "/etc/pki/tls/certs/logstash-forwarder.crt"
ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
protocol => "ssl-tcp"
}
}

●オペレーション
/tmp/test.logに追記

$ echo "12345" >> /tmp/test.log

■結果
この時、シスログ転送先のサーバーにて出力されるログは以下になります。
Jun 1 02:02:49 XXX.XXX.XXX.249 2020-06-01T02:02:49.583Z ip-XXX-XXX-XXX-155.ap-northeast-1.compute.internal 12345

「Jun 1 02:02:49 XXX.XXX.XXX.249」は、転送先のrsyslogにて付与している情報になりますが、その後の「2020-06-01~compute.internal 」はlogstash側で付与している情報に見えます。
これを、転送先のサーバにて出力されるログにはlogstash側で付与される情報を表示せずに、以下のように出力させたいです。

Jun 1 02:02:49 XXX.XXX.XXX.249 12345

実現する方法はありますでしょうか?

@t-nakataさん

syslog output pluginのコードを見ると、pluginの中でtimestampとsourcehostをメッセージに付与しているので、syslog output pluginを使う限り、外す方法はありません。

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.