読者です 読者をやめる 読者になる 読者になる

fluentdのmessageにtimeフィールドを残す #fluentd

fluentdのin_tailでパースされたメッセージは time,tag,message に分割されて次のプラグインまで流れますが、その際にmessageにtimeフィールドが残りません。これを残す方法はないか調べてみました。

現状

このような設定で動いているfluentdがあったとして

<source>
  type tail
  path /var/log/httpd/access_log
  tag apache.access
  format apache
</source>

<match apache.**>
  type stdout
</match>

ローカルホスト向けにcurlを打って

$ curl localhost

このようにaccess_logに残った場合

::1 - - [23/Nov/2013:10:23:59 +0900] "GET / HTTP/1.1" 403 5039 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.13.6.0 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"

fluentd内を流れるメッセージは以下のようになります。

(ここからtime)2013-11-23 10:23:59 +0900 (ここからtag)apache.access: (ここからmessage){"host":"::1","user":"-","method":"GET","path":"/","code":"403","size":"5039","referer":"-","agent":"curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.13.6.0 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"}

messageからtimeが消えていますね。

解決策

fluent-plugin-record-reformerを使うことで解決しました。

sonots/fluent-plugin-record-reformer · GitHub

このpluginは流れてきたtime,tag,messageを加工することができるプラグインです。

インストールして

$ gem install fluent-plugin-record-reformer

設定ファイルを書き換えてfluentdを再起動します。

<source>
  type tail
  path /var/log/httpd/access_log
  tag apache.access
  format apache
</source>

<match apache.**>
  type record_reformer
  output_tag reformed.${tag}
  time ${time}
</match>

<match reformed.**>
  type stdout
</match>

ローカルホスト向けにcurlを打って

$ curl localhost

このようにaccess_logに残った場合

::1 - - [23/Nov/2013:10:23:59 +0900] "GET / HTTP/1.1" 403 5039 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.13.6.0 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"

messageの末尾にtimeフィールドがついています。

(ここからtime)2013-11-23 10:23:59 +0900 (ここからtag)reformed.apache.access: (ここからmessage){"host":"::1","user":"-","method":"GET","path":"/","code":"403","size":"5039","referer":"-","agent":"curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.13.6.0 zlib/1.2.3 libidn/1.18 libssh2/1.4.2","time":"2013-11-23 10:23:59 +0900"}