Хочу мониторить очередь писем, для этого пишу в файл следующую инфу
"data", "hostname", "count"
Wed Aug 11 11:18:44 smtp01 72
Wed Aug 11 11:43:45 smtp01 71
Wed Aug 11 13:49:38 smtp01 72
Wed Aug 11 13:51:09 smtp01 71
Изначально конфиг фильтра был такой
filter {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST} %{DATA:program}(?:\[%{POSINT}\])?: %{GREEDYDATA:message}" }
overwrite => ["timestamp", "message"]
}
так же пытался подобное проделать с Тэгами, но тоже данные не льются.
Добавил грок фильтр для этих столбцов
match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{HOSTNAME} %{NUMBER:postfix_queue}" }
На данный момент у меня парсятся логи, настраивал по GitHub - whyscream/postfix-grok-patterns: Logstash configuration and grok patterns for parsing postfix logging
В секции фильтр добавил
filter {
if [type] == "queue" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{HOSTNAME} %{NUMBER:queue}" }
overwrite => ["timestamp", "message"]
}
}
if [type] == "postfix_logs" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST} %{DATA:program}(?:\[%{POSINT}\])?: %{GREEDYDATA:message}" }
overwrite => ["timestamp", "message"]
}
}
}
в filebeat.yml
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/mail.info
fields:
type: postfix_logs
- type: log
enabled: true
paths:
- /var/log/postfix_queue.log
fields:
type: queue
после перезапуска любые данные перестают литься.
быть может как то не так определяю type файлов. Подскажите что не так?
p.s. щас обнаружил вкладку Tags, там я должен опеределить тэги?