Я пытаюсь извлечь только последнюю часть журнала Linux, используя шаблоны Grok в Graylog, но это сложнее, чем я думал.
Вот сообщение, которое я получаю:
18 марта 11:10:01 Graylog CRON[14637]: pam_unix(cron:session): сеанс закрыт для пользователя root
Я хочу только сохранить дату, время и сеанс закрытым для корневой части пользователя.
Это то, что я пробовал, безрезультатно:
%{GREEDYDATA} pam_unix(cron:session):
%{GREEDYDATA} session closed for user root
%{MONTH} %{BASE10NUM} %{TIME} %{GREEDYDATA}graylog CRON[18698]: pam_unix(cron:session):
Может быть, я все еще неправильно использую greedydata (?), Любая помощь будет очень признательна!