Различные экстракторы для одного и того же входа Graylog ?

Вы можете связать экстракторы таким образом, чтобы, если сообщение содержит API, копировать сообщение в api_message, выполнять экстрактор в этом новом поле.

сделать то же самое для nginx и т. Д.

Я загружаю несколько источников журналов на один вход и к нему привязаны 4 экстрактора. Судя по поведению, которое я наблюдал, если экстрактор не соответствует требованиям, он просто переходит к следующему экстрактору. Это всего лишь попытка, а не сила.

Например, мои экстракторы:

1. Декодировать JSON (входные данные поступают как JSON, он распределяется по полям)
2. Стандартный формат ведения журнала приложений (мы используем внутренний стандарт)
3. Код ошибки для приложения (в случае ОШИБКИ наши приложения используют настраиваемое поле Example_Error = Something)
4. Имя хоста Mac OS X

Когда журнал приложения поступает без ошибок, он:

1. Получает декодирование из JSON
2. Соответствует формату через grok с RegEx
3. Pass (нет поля "Example_Error =")
4. Pass (нет совпадений с журналами Mac OS X)

И когда поступает системный журнал Mac OS X:

1. Получает декодирование из JSON
2. Пройдено (не соответствует формату ведения журнала приложения)
3. Пройдено (не соответствует полю кода ошибки)
4. Получает извлеченное имя хоста

С некоторым планированием и хорошими наборами приемов , вы можете заставить это работать с большим количеством экстракторов на основе ожидаемого форматирования ваших журналов. Особенно полезной для вас может быть опция «Выполнять извлечение, только если поле содержит (строку / регулярное выражение)» в экстракторах.