今天客户要求splunk接受app的数据, 这个要先接受到netapp 的数据才可以打到splunk.
先把syslog-ng 的VIP 给对方后,对方连上,发消息后,syslog-ng 这边要进行接受过滤,下面的这个可以参考一下:
###############################################################
# Destinations
#
destination d_abc{
file("/123/abc/$R_YEAR/$R_MONTH/$R_DAY/$HOST.$PROGRAM.log"
template("$MSG\n"));
};
###############################################################
# Filters
#
filter f_abc {
match(".*irule_abc_process.*" value("MESSAGE"));
};
###############################################################
# Rewrites
#
rewrite r_abc_message {
subst("^.*irule_abc_process: {", "{", value("MESSAGE") flags("global"));
};
###############################################################
# Rewrites
#
rewrite