Конфигурация fluentd td-agent для dovecot

Мне нужно отправить все журналы с удаленными сообщениями из dovecot в asticsearch через td-agent. Я хочу отправить отфильтрованный контент. Например, некоторые строки, которые мне нужны:

10 августа 04:58:01 srv85 dovecot: imap (inbox@domain.com): expunge: box = INBOX.Trash, uid = 5394, msgid =?

а также

10 августа 04:56:47 srv85 dovecot: imap (inbox@domain.com): delete: box = INBOX.Trash, uid = 5934, msgid = <1ec5d5f604e886041cf215bdfd38ec55@technologyhop.in.net>, размер =17595

и (для удаления POP3, отфильтрованы в bash с использованием grep dovecot /var/log/maillog | grep pop3 | grep del | grep -v 'del=0/' команды):

10 августа 05:06:11 srv85 dovecot: pop3 (inbox@domain.com): отключено: вышло из системы top = 0/0, retr = 3/43485, del = 7/69, размер =5859315, байт =107/46107

Вся остальная информация должна быть удалена.

Как настроить фильтр tg-agent для получения этой строки?

PS Logtash не используется в нашем случае