Logstash 用grok解析后缀事件_Logstash_Postfix Mta_Grok

Logstash 用grok解析后缀事件

logstash

Logstash 用grok解析后缀事件,logstash,postfix-mta,grok,Logstash,Postfix Mta,Grok,我正试图弄清楚logstash和grok是如何解析消息的。我发现了这个例子开始时是这样的： filter { # grok log lines by program name (listed alpabetically) if [program] =~ /^postfix.*\/anvil$/ { grok{... 但我不明白[程序]在哪里被解析。我用的是Logstash2.2 该示例在我的logstash安装中不起作用，没有解析任何内容。我自己回答该

我正试图弄清楚logstash和grok是如何解析消息的。我发现了这个例子

开始时是这样的：

filter {
     # grok log lines by program name (listed alpabetically)
     if [program] =~ /^postfix.*\/anvil$/ {
         grok{...

但我不明白[程序]在哪里被解析。我用的是Logstash2.2 该示例在我的logstash安装中不起作用，没有解析任何内容。

我自己回答

该示例假设事件来自syslog（在这种情况下，字段“program”存在），而不是filebeats，这是我用来将事件发送到logstash的

要解决此问题，请执行以下操作：