質問編集履歴

td-agent.confの内容

2018/12/11 06:48

投稿

sonic883

スコア6

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -48,4 +48,20 @@
 　　}
 　}
 }
-```
+```
+2018/12/11 15:46追記
+一つ抜けておりました。rsyslogで転送されたmaillogは、td-agentでelasticsearchへ投げるようになっています。
+td-agent.confの内容は
+```
+<source>
+ type tail
+ path /var/log/monitor/maillog
+ tag mail_log
+ pos_file /var/log/td-agent/mailmanmail_log.pos
+ format /^(?<date>[^ ]* [^ ]* [^ ]*) (?<time>[^ ]+) (?<host>[^ ]+) (?<process>[^:]+): (?<message>((?<key>[^ :]+)[ :])? ?((to|from)=<(?<address>[^>]+)>)?.*)$/
+ time_format %H:%M:%S
+</source>
+```
+です。

indexのmapping追記しました

2018/12/11 06:48

投稿

sonic883

スコア6

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -25,4 +25,27 @@
 また、/var/log/elasticsearch/elasticsearch.logには、該当する時間の記録は特にありませんでした。
 /var/log/messageもElasticsearch関連の内容はありません。
-皆目見当がつかないので、ここをチェックするべき…など情報をいただけますでしょうか。
+皆目見当がつかないので、ここをチェックするべき…など情報をいただけますでしょうか。
+以下、2018/12/11 13:00追記
+このページ　https://qiita.com/Kotatsu/items/1675231f857aaeec26d4　を参考にして、
+mail_access-201812というindexを、sendmailのmaillogをもとにkibana上で作成しています。
+ curl http://localhost:9200/mail_access-201812/_mappingの結果は以下の通りです。
+```json
+{"mail_access-201812":
+　{"mappings":
+　　{"mail_log":
+　　　{"properties":
+　　　　{"@timestamp":{"type":"date"},
+　　　　"address":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},
+　　　　"date":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},
+　　　　"host":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},
+　　　　"key":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},
+　　　　"message":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},
+　　　　"process":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}}
+　　　　}
+　　　}
+　　}
+　}
+}
+```