Der Syslog-Parser unterstützt die Optionen „message_decoder“ und „extract_sd“ und erkennt automatisch die folgenden Formate: RFC-6587, RFC-5424 und RFC-3164.
Konfigurieren der Option „message_decoder“
Für den Syslog-Parser stehen alle gängigen Optionen sowie die Option message_decoder zur Verfügung. Standardmäßig werden nur die Felder timestamp und appname extrahiert. Aktivieren Sie die Option „message_decoder“ durch Festlegung von Konfigurationswerten in Ihrer Datei liagent.ini wie im Folgenden beispielhaft dargestellt:
[filelog|data_logs] directory=D:\Logs include=*.txt parser=mysyslog [parser|mysyslog] base_parser=syslog message_decoder=syslog_message_decoder debug=yes [parser|syslog_message_decoder] base_parser=kvp fields=*
Analysieren mit der Option „message_decoder“
Das folgende Beispiel zeigt ein Ereignis und die Felder, die diesem Ereignis durch einen Syslog-Parser hinzugefügt wurden, der für die Verwendung der Option „message_decoder“ konfiguriert wurde:
- Beispielereignis:
2015-09-09 13:38:31.619407 +0400 smith01 john: Fri Dec 5 08:58:26 2014 [pid 26123] [jsmith.net] status_code=FAIL oper_ ation=LOGIN: Client "176.31.17.46"
- Zurückgegeben durch einen Syslog-Parser, auf den die Option „message_decoder“ angewendet wird, um einen KVP-Parser auszuführen:
timestamp=2015-09-09T09:38:31.619407 appname=john status_code=FAIL operation=LOGIN:
Konfigurieren der Option „extract_sd“ für das Analysieren strukturierter Daten
Um strukturierte Daten zu analysieren, aktivieren Sie die Option „extract_sd“ durch Festlegung der entsprechenden Konfigurationswerte in Ihrer Datei liagent.ini wie im Folgenden beispielhaft dargestellt:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog_parser [parser|syslog_parser] base_parser=syslog extract_sd=yes
Analysieren mit der Option „extract_sd“
Das folgende Beispiel zeigt ein Ereignis und die Felder, die diesem Ereignis durch einen Syslog-Parser hinzugefügt wurden, der für die Verwendung der Option „extract_sd“ konfiguriert wurde:
- Das Beispielereignis:
<165>1 2017-01-24T09:17:15.719Z localhost evntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"] Found entity IPSet, display name dummy ip set 1411 - Die folgenden Felder werden dem Ereignis vom Syslog-Parser hinzugefügt:
timestamp=2017-01-24T09:17:15.719000 pri_facility=20 pri_severity=5 procid="-" msgid="ID47" iut="3" eventsource="Application" eventid="1011" class="high" appname="evntslog"
Vom Parser extrahierte Felder
Der Parser extrahiert die folgenden Felder automatisch aus einem Ereignis:
| RFC-Klassifizierung | pri_facility | pri_severity | timestamp | appname | procid | msgid |
|---|---|---|---|---|---|---|
| Nicht-RFC | X | X | ||||
| RFC 3164 | X | X | X | X | ||
| RFC 5424 | X | X | X | X | X | X |
Optionen des Syslog-Parsers
Die folgende Tabelle beschreibt die verfügbaren Syslog-Optionen.
| Option | Beschreibung |
|---|---|
message_decoder |
Definiert einen zusätzlichen Parser, der zum Analysieren des Nachrichtentextes eines Ereignisses verwendet wird. Dies kann ein integrierter Parser sein, wie z. B. „auto“ oder ein beliebiger benutzerdefinierter Parser. |
extract_sd |
Analysiert strukturierte Daten. Es werden nur Ja- oder Nein-Werte für die Option „extract_sd“ unterstützt. Diese Option ist standardmäßig deaktiviert. Wenn die Option „extract_sd“ aktiviert ist, werden einfach alle Schlüssel/Wert-Paare aus den strukturierten Daten extrahiert. |
Analysieren für den Standard RFC 5424
Die folgenden Beispiele beinhalten zwei Ereignisse, die von einer konfigurierten Syslog-Instanz analysiert werden, und zeigen die für den Collector verwendete Konfiguration, ein Beispielereignis und die Felder, die der Syslog-Parser dem Ereignis hinzufügt.- Konfiguration:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- Ein in der überwachten Datei generiertes Ereignis:
<165>1 2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT [[email protected] username=\"regress\"] User 'regress' exiting configuration mode - Juniper format - Felder, die dem Ereignis vom Syslog-Parser hinzugefügt werden:
The following fields will be added to the event by Syslog parser: timestamp=2017-01-24T09:17:15.719000 pri_facility = 20 pri_severity = 5 procid = 3046 msgid = UI_DBASE_LOGOUT_EVENT appname = mgd
Analysieren für den Standard RFC 3164
Das folgende Beispiel zeigt die für den Collector verwendete Konfiguration, ein RFC 3164-Beispielereignis und die Felder, die Syslog dem Ereignis hinzufügt.
- Konfiguration:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- Ein in der überwachten Datei generiertes RFC 3164-Ereignis:
<13>2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT User 'regress' exiting configuration mode - Juniper format
- Felder, die dem Ereignis vom Syslog-Parser hinzugefügt werden:
timestamp=2017-01-24T09:17:15.719000 pri_facility=1 pri_severity=5 appname="mgd"
