1
我想在bosun中發出警報,它將檢查logstash中的「級別:致命」消息並在每次發生唯一消息x主機組合時發出警報。爲了使它有用,它應該通過'message'和'host'標籤對警報進行分組,並報告這些標籤在模板中的值。我lscount查詢看起來是這樣的:Bosun Logstash集成 - 如何獲取完整的消息字段
$fatal_log_rate = lscount("logstash","message,host","level:fatal", "5m", "5m", "")
我的問題是運行在水手長此警報的時候,而不是由消息字段的全部分組像我想,它被分解單個消息的消息字段分成許多組。它看起來像是分裂在空格,冒號,換行符,括號和等號。例如,如果我的信息是:
message: There was an error at: org.abc.Class:42.
ABC Component failed (reason=300)
從lscount輸出所得水手長以上會給我含有信息「有」,「是」,「一個」,「錯誤」,「在」 12組, 「org.abc.Class」,「42」,「abc」,「component」,「failed」,「reason」,「300」。
按主機分組也不如預期,雖然這是分裂的第一期。例如,我們的主機名可能是core2.abc.xyz.net,但上述lscount的結果分爲host=core2和host=abc.xyz.net。
是否有任何方法將全部或部分消息字段進行分組,然後獲取完整消息字段以在模板中進行報告?