Есть принимающий сервер логстэш на n-ом порту. Туда сыпятся со всех клиентов все syslog's, включая апач, астериск, постфикс.
Листенер на удп слушает и принимает тип syslog, что вроде логично, а как мне потом разделить тип принимаемых логов, чтобы далее парсить через grok? Псевдоконфиг, как я хочу:
input { udp {port ... type = syslog}}
filter {
if type == ["syslog"]
....
if type == ["asterisk"]
....
if type == ["postfix"]
....
}
Видел к примерах, что на каждый тип - отдельный порт в input, но не буду же я открывать в фаерволе все порты, ведь если у меня будет, грубо, тысяча типов логов? Наверняка есть более элегантное решение...
