Нет. Это список полей из $!all_json

Просто хотелось сформировать свой JSON с некими полями из  JSON который есть в MESSAGE, но к ним я обратиться к сожалению не могу (

Оно строкой распарсилось что ли?

Да

Оно заэкронировало все ковычки просто

Тогда тебе надо mmnormalize, оно умеет из переменной парсить

Вообще, у тебя входящее так криво сформировано, скорее всего

Да, его php сам перевел в string

Емнип, mmjsonparse должно уметь вложенные объекты

Ага... вот в этом и есть проблема

Я сходу не скажу красивый способ разэкранировать.. если только заменить \ на ничего.. и потом скормить результат mmlognorm с правилом, которое парсит json

Стремно получится. Лучше бы php сказать, чтобы так не делало

Добавил @cee в message и все распарсилось! Спасибо всем, кто помогал)

Для этого нужно его не строкой в stdout писать, а прям из приложения отправлять в rsyslog.

Тут, кстати, эту статью Райнера Герхардса вроде не выкладывали - исправляю недоработку.

TLDR: завезли батчинг и мультитрединг

Так давно еще.

А, это статья 2010 года.

Я еще в 2014 примерно на одном ядре 80k mps выжимал (дальше мешало ограничение гигабитного линка).

Доброго времени суток. Подскажите пожалуйста, упёрся в проблему преобразования дат, не могу понять, как правильно это сделать.
Отправляю логи IIS через rsyslog в Elasticsearch.
Логи IIS преобразую с помощью mmnormalize .
Начало лога IIS:
20-12-06 20:56:30 W3SVC7 ....   (время тут UTC)
Как из этого сделать @timestamp для шаблона, который отправляется в эластик?
Сейчас пока делаю немного неправильно
   constant(value="{\"@timestamp\":\"")  property(name="timereported" dateFormat="rfc3339")