It wouldn't be that hard to create a plugin for that using the amavis custom hooks api. I'm planning on writing one myself to feed KairosDB with statistical information and log some extra information about a mail to db/file.<br><br><div class="gmail_quote">On 5 October 2014 13:11, Patrick Proniewski <span dir="ltr"><<a href="mailto:patrick.proniewski@univ-lyon2.fr" target="_blank">patrick.proniewski@univ-lyon2.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<br>
I've given up on ELK (ElasticSearch/Logstash/Kibana), and I'm moving to Splunk. Amavisd-new ability to log in JSON format is a very great feature, and I would like to be able to pipe my JSON logs to Splunk.<br>
<br>
The redis output is still defined, from my past tests with ELK and I have defined this:<br>
<br>
$log_templ = <<'EOD';<br>
[:report_json]<br>
EOD<br>
<br>
Unfortunately I've got some problem feeding logs into Splunk:<br>
<br>
- Splunk won't pull data from a Redis server. It just does not have proper connector for that.<br>
- Amavisd-new will not log pure JSON into a file, there's always regular log lines (start/stop for example) and every mail analysis log entry is prefixed with "time-stamp hostname binary-path[PID]: (thread-number)", JSON comes only after all those informations. Hence, Splunk fails to recognize proper JSON, and won't index the log file.<br>
- Using Syslog with JSON output is not an option, on FreeBSD syslogd can't handle lines longer than 1000 Bytes.<br>
<br>
Any help is greatly appreciated.<br>
<br>
I'm registered to digest, feel free to {B}Cc me.<br>
<span class="HOEnZb"><font color="#888888"><br>
Patrick PRONIEWSKI<br>
--<br>
Responsable pôle Opérations - DSI - Université Lumière Lyon 2<br>
Responsable Sécurité des Systèmes d'Information<br>
<br>
</font></span></blockquote></div><br>