Я следую инструкциям в этом блоге по настройке rsyslog + logstash + graylog2, и я не могу понять, как заменить атрибут @source_host в logstash с помощью фильтра mutate -> replace.
В примере автор заменяет свой @source_host строковым значением, но я хотел бы использовать фактическое значение, которое в данном случае анализируется из системного журнала.
mutate {
type => loc1
replace => ["@source_host", "loc1"]
}
mutate {
type => loc2
replace => ["@source_host", "loc2"]
}
Как мне на самом деле поддерживать исходный исходный хост в моих журналах?
если поле уже было сопоставлено с записью и доступно, возможно, вы сможете это сделать;
mutate {
type => loc2
replace => [ "@source_host","%{this_field}" ]
}
(хотя я раньше не пробовал заменять поле @source_host, но попробуйте и сообщите нам, как все прошло ... ;-)