使用rsyslog和ELK進行特定日誌記錄

Question

我有一臺rsyslog服務器和ELK堆棧運行在同一臺服務器上。

我們的應用程序將日誌轉發到rsyslog並將其轉發到本地主機。

我們現在想分割我們的日誌記錄（前端和後端日誌記錄）。

我們的前端開發已添加一個標籤[前端]，將被添加到消息。 是否有可能在rsyslog中過濾出來，並將其轉發到另一個logstash，同時保持後端日誌記錄？

我有這個在我此刻的配置，但它不斷轉發所有郵件到logstash：

*.* @@localhost:5555 
:msg, contains, "\[frontend\]" stop 

*.* @@localhost:5544 
:programname, contains, "backend" ~ 

我們通過後臺發送前端日誌，以便程序名「後臺」是每一個消息，我們收到

Answer 1

做了一些更多的研究，並發現了一個有效的解決方案：

*.*  { 
     :msg, contains, "\[frontend\]" 
     @@localhost:5555 
     } 

*.*  {:programname, contains, "backend" 
     @@localhost:5544 
     stop 
     }