Contexte :

C’est un des champs qui est extrait lors de l’indexation (donc plus modifiable ensuite), il est donc important de bien le récupérer.
Par défaut, si on n’indique rien dans le stanza du monitor, le champ host est configuré avec le hostname de la machine ou l’UF est installé.
Cela peut gêner si l’on se trouve sur un concentrateur de logs.

Configuration

Plusieurs cas s’offre à nous.

On l’affecte en dur

C’est pas la plus simple à gérer si on a beaucoup de machine.

inputs.conf

[monitor:///var/log/apache.log] 
disabled = 0
sourcetype = foo
index = bar
host = monapache01

On le récupère du chemin de fichier

inputs.conf

[monitor:///var/log/monserveur/access.log]</br> disabled = 0</br> sourcetype = foo</br> index = bar</br> host_segment = 3

Note :
A la place de “monserveur” on pourrait mettre “…” ou “*” pour gérer automatiquement l’ajout de machine.
La différence :

  • “…” plusieurs dossiers
  • “*” un seul dossier

On le récupère dans le nom du fichier

Exemple dans “/var/log/foo.log”, on souhaite que le champ host récupère “foo”.

inputs.conf

[monitor:///var/log/]
disabled = 0
sourcetype = foo
index = bar
host_regex = /var/log/(\w+)

On le récupère dans les logs

Dans cette configuration, c’est indexer qui force le champ host à partir du contenu des logs. Les logs Fortigate du lab sont disponibles ICI.
inputs.conf

[monitor:///PATH/logs/fortigate.log]
disabled = 0
sourcetype = alasta:forti
index = lab_hostinfile

props.conf

[alasta:forti]
TRANSFORMS-set_host = set-myforti-host
TRUNCATE=20000

On crée un stanza pour le sourcetype, on indique un transforms (TRANSFORMS- = ).

transforms.conf

[set-myforti-host]
DEST_KEY=MetaData:Host
REGEX=hostname=\"(\S*)\"
FORMAT=host::$1

On crée un stanza avec le nom du transforms.
DEST_KEY : nom de la méta à modifier
REGEX : pattern qui matche le champ host
FORMAT : format du champ.

Annexe :

Doc Officielle
Doc Officielle - Override host