Я пытаюсь заполнить свои записи в журнале, которые содержат определенное слово. Мы получаем тонны событий входа и выхода в наших журналах, и я не хочу отправлять эти записи, я хочу отфильтровать их. Я посмотрел на плагин фильтра grep и, исходя из того, как я его понимаю, кажется, что это достаточно просто (сообщение grep для конкретного слова и исключение), но моя установка не работает, так как я все еще вижу записи журналов в Splunk.
пример записи в журнале:
{"message":"Aug 21 09:46:15 linuxhost OSd[15]: logout(11100) usec=69895 tz=-07:00 seq=4569812 category=audit user=admin client-pid=154872 : logout"}
пример раздела из моего td-agent.conf:
<filter login.logout>
@type grep
<exclude>
key message
pattern login
pattern logout
</exclude>
</filter>