Конкретная регистрация с помощью rsyslog и ELK

Question

У меня есть сервер rsyslog и стек ELK, работающий на том же сервере.

Наше приложение отправляет журналы в rsyslog и перенаправляет их на localhost.

Теперь мы хотим разбить наш журнал (входной и входной журналы).

Наш пользовательский интерфейс добавил тег [frontend], который будет добавлен в сообщение. Можно ли отфильтровать это в rsyslog и перенаправить это на другую logstash, сохраняя ведение журнала?

у меня есть это в моей конфигурации в данный момент, но он держит переадресацию всех сообщений этого logstash:

*.* @@localhost:5555 
:msg, contains, "\[frontend\]" stop 

*.* @@localhost:5544 
:programname, contains, "backend" ~ 

Мы посылаем журналы фронтэнда через бэкэнд так название программы «бэкенд» в каждом сообщении мы получить

Answer 1

сделал некоторые дополнительные исследования и обнаружили, рабочий раствор:

*.*  { 
     :msg, contains, "\[frontend\]" 
     @@localhost:5555 
     } 

*.*  {:programname, contains, "backend" 
     @@localhost:5544 
     stop 
     }