Estou seguindo as etapas deste blog para configurar o rsyslog + logstash + graylog2 e não consigo descobrir como substituir o atributo @source_host no logstash usando o método mutate - > substitua o filtro.
No exemplo, o autor substitui seu @source_host por um valor de string, mas eu gostaria de usar o valor real que é analisado neste caso, um syslog.
mutate {
type => loc1
replace => ["@source_host", "loc1"]
}
mutate {
type => loc2
replace => ["@source_host", "loc2"]
}
Como faço para manter o host de origem original nos meus registros?
se o campo já tiver sido correspondido ao registro e estiver disponível, você poderá fazer isso;
mutate {
type => loc2
replace => [ "@source_host","%{this_field}" ]
}
(embora eu não tenha tentado substituir o campo @source_host antes, mas experimente e deixe-nos saber como foi ...; -)