Разные экстракторы для одного и того же входа Graylog?

Я принимаю несколько источников журналов на одном входе, и к нему подключены 4 экстрактора. Из поведения, которое я наблюдал, если экстрактор не совпадает, он просто переходит к следующему экстрактору. Это всего лишь попытка, а не сила.

Например, мои экстракторы:

1. Декодировать JSON (входные данные представлены как JSON, это выравнивается по полям)
2. Стандартный формат регистрации приложений (мы используем внутренний стандарт)
3. Код ошибки для приложения (если ошибка, наши приложения используют настраиваемое поле Example_Error=Something)
4. Имя хоста Mac OS X

При входе в журнал приложения без ошибок он:

1. Получает расшифровку из JSON
2. Соответствует формату через GroK с RegEx
3. Pass (нет поля "Example_Error=")
4. Проход (нет совпадения с журналами Mac OS X)

И когда системный журнал Mac OS X входит:

1. Получает расшифровку из JSON
2. Pass (не соответствует формату регистрации приложения)
3. Pass (не соответствует полю с кодом ошибки)
4. Получает имя хоста извлечено

С некоторым планированием и хорошими наборами гроков вы можете заставить это работать со многими экстракторами, основываясь на ожидаемом форматировании ваших журналов. Для вас также может быть полезен параметр "Только попытка извлечения, если поле содержит (строка / регулярное выражение)" в экстракторах.

Вы можете связать экстракторы так, что если сообщение содержит API, скопируйте сообщение в api_message и выполните экстрактор в этом новом поле.

сделайте то же самое для nginx и т. д.