Проблемы, настраивающие logstash для электронной почты, производятся
Переименование компьютера к WS-005, в то время как это - все еще доменный участник, создаст новый компьютерный объект с тем именем (Предполагающий, что Вы имеете права добавить новые компьютерные объекты).
Если Вы хотите компьютерный объект использовать конкретное имя:
- Удалите компьютер из домена (если это находится на домене). Перезагрузка
- Переименуйте компьютер к имени, которое Вы хотите использовать. Перезагрузка
- Добавьте компьютер назад к домену
По умолчанию любой компьютерный объект, добавленный к домену, закончится в Компьютерах по умолчанию OU. Если Вы хотите, чтобы это было в другом OU:
- Переместите его в OU после добавления его к домену
- Или создайте компьютерный объект с именем, которое Вы используете в OU, который Вы хотите прежде, чем добавить его к домену.
Do you not have to parse out [program] first? I don't think the 'input' field does any sort of filtering at all, so you might need to start with %SYSLOGBASE http://logstash.net/docs/1.4.1/filters/grok
You could try instead perhaps:
if [message] =~ /nginx-access/ {
Which'll keyword match your message field. That'll at least tell you if that is what's happening here.
Вывод электронной почты не поддерживает функцию сопоставления. Вместо этого вы могли бы сделать add_tag для успешного совпадения Grok, а затем поставить условие для вывода электронной почты, чтобы отправлять только определенные электронные письма в зависимости от тега, который вы определили.