В моей текущей настройке я использую Telegraf для приема журналов nginx из syslog и вывода их в Infxdb. Это прекрасно работает.
Telegraf поддерживает синтаксический анализ журналов Grok. Насколько я могу судить, его можно использовать для [[inputs.file]] и для [[processors.parser]].
Как я могу настроить telegraf для анализа части сообщения каждого входящего оператора журнала из [[inputs.syslog]] с гроком?
Я попробовал следующую конфигурацию, но она не работает. Я вообще не получаю ошибок или сообщений от телеграфа, и в выводе нет изменений:
# [...] Boilerplate omitted for brevity
# Accept input from syslog
[[inputs.syslog]]
server = "tcp://:2010"
# Send metrics to InfluxDB
[[outputs.influxdb]]
urls = ["http://our_influx.com"]
username = "admin"
password = "admin"
# Process logs with grok
[[processors.parser]]
parse_fields = ["message"]
drop_original = true
merge = "override"
data_format = "grok"
grok_patterns = ["%{COMBINED_LOG_FORMAT}"]