logstashを使用してログソースホストを維持する方法
このブログの手順に従ってrsyslog + logstash + Graylog2を設定していますが、mutate-> replacefilterを使用してlogstashの@source_Host属性を置き換える方法がわかりません。
この例では、作成者は@source_Hostを文字列値に置き換えていますが、この場合はsyslogから解析された実際の値を使用したいと思います。
mutate {
type => loc1
replace => ["@source_Host", "loc1"]
}
mutate {
type => loc2
replace => ["@source_Host", "loc2"]
}
ログに元のソースホストを実際に保持するにはどうすればよいですか?
フィールドがすでにレコードと一致していて、使用可能である場合は、これを実行できる可能性があります。
mutate {
type => loc2
replace => [ "@source_Host","%{this_field}" ]
}
(これまで@source_Hostフィールドを置き換えようとしたことはありませんが、試してみて、どのように行われたかをお知らせください。。。;-)