El analizador syslog es compatible con las opciones message_decoder y extract_sd, y detecta automáticamente dos formatos: RFC-6587, RFC-5424 y RFC-3164.

Configurar la opción message_decoder

Todas las opciones comunes y la opción message_decoder están disponibles para el analizador syslog. De forma predeterminada, solo se extraen los campos timestamp y appname. Habilite la opción message_decoder. Para ello, defina los valores de configuración del archivo liagent.ini para que sean similares a los del siguiente ejemplo:

[filelog|data_logs]
directory=D:\Logs
include=*.txt
parser=mysyslog

[parser|mysyslog]
base_parser=syslog
message_decoder=syslog_message_decoder
debug=yes

[parser|syslog_message_decoder]
base_parser=kvp
fields=*

Analizar con la opción message_decoder

El siguiente ejemplo incluye un evento de muestra y los campos que un analizador syslog configurado para utilizar la opción message_decoder le agrega:

  • Evento de ejemplo:
    2015-09-09 13:38:31.619407 +0400 smith01 john: Fri Dec 5 08:58:26 2014 [pid 26123] [jsmith.net] status_code=FAIL oper_
    ation=LOGIN: Client "176.31.17.46"
  • Devuelto por un analizador syslog al que se le aplica la opción message_decoder para ejecutar un analizador de KVP:
    timestamp=2015-09-09T09:38:31.619407 appname=john status_code=FAIL operation=LOGIN:

Configurar la opción extract_sd para analizar datos estructurados

Para analizar datos estructurados, habilite la opción extract_sd. Para ello, defina los valores de configuración del archivo liagent.ini para que sean similares a los del siguiente ejemplo:

[filelog|simple_logs]
directory=/var/log
include=*.txt
parser=syslog_parser

[parser|syslog_parser]
base_parser=syslog
extract_sd=yes

Analizar con la opción extract_sd

El siguiente ejemplo incluye un evento de muestra y los campos que un analizador syslog configurado para utilizar la opción extract_sd le agrega:

  • Evento de ejemplo: <165>1 2017-01-24T09:17:15.719Z localhost evntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"] Found entity IPSet, display name dummy ip set 1411
  • El analizador syslog agrega los siguientes campos al evento:
    timestamp=2017-01-24T09:17:15.719000
    pri_facility=20
    pri_severity=5
    procid="-"
    msgid="ID47"
    iut="3"
    eventsource="Application"
    eventid="1011"
    class="high"
    appname="evntslog"

Campos extraídos por el analizador

El analizador extrae automáticamente los siguientes campos de un evento:

Clasificación de RFC pri_facility pri_severity timestamp appname procid msgid
Sin RFC X X
RFC-3164 X X X X
RFC-5424 X X X X X X

Opciones del analizador syslog

La siguiente tabla describe las opciones de syslog disponibles.

Opción Descripción
message_decoder

Define un analizador adicional, que se utiliza para analizar el cuerpo del mensaje de un evento. Puede ser un analizador integrado, ya sea automático o personalizado.

extract_sd Analiza datos estructurados.

La opción extract_sd option solo admite los valores yes o no. La opción está desactivada de forma predeterminada. Cuando se habilita la opción extract_sd, simplemente extrae todos los pares clave-valor de los datos estructurados.

Analizar el estándar RFC-5424

Los siguientes ejemplos muestran dos eventos analizados por una instancia de syslog configurada. Se incluye la configuración utilizada para el recopilador, un evento de muestra y los campos que le agrega el analizador syslog.
  • Configuración:
    [filelog|simple_logs]
    directory=/var/log
    include=*.txt
    parser=syslog
    
  • Un evento generado en el archivo supervisado:

    <165>1 2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT [[email protected] username=\"regress\"] User 'regress' exiting configuration mode - Juniper format

  • Campos que el analizador syslog agrega al evento:
    The following fields will be added to the event by Syslog parser:
    timestamp=2017-01-24T09:17:15.719000
    pri_facility = 20
    pri_severity = 5
    procid = 3046
    msgid = UI_DBASE_LOGOUT_EVENT
    appname = mgd
    
    

Analizar el estándar RFC-3164

El siguiente ejemplo muestra la configuración utilizada para el recopilador, un evento de RFC-3164 de muestra y los campos que syslog agrega al evento.

  • Configuración:
    [filelog|simple_logs]
    directory=/var/log
    include=*.txt
    parser=syslog
    
  • Un evento de RFC-3164 generado en el archivo supervisado:
    <13>2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT User 'regress' exiting configuration mode - Juniper format
    
  • Campos que el analizador syslog agrega al evento:
     
    timestamp=2017-01-24T09:17:15.719000
    pri_facility=1
    pri_severity=5
    appname="mgd"