El analizador syslog es compatible con las opciones message_decoder y extract_sd, y detecta automáticamente dos formatos: RFC-6587, RFC-5424 y RFC-3164.
Configurar la opción message_decoder
Todas las opciones comunes y la opción message_decoder están disponibles para el analizador syslog. De forma predeterminada, solo se extraen los campos timestamp y appname. Habilite la opción message_decoder. Para ello, defina los valores de configuración del archivo liagent.ini para que sean similares a los del siguiente ejemplo:
[filelog|data_logs] directory=D:\Logs include=*.txt parser=mysyslog [parser|mysyslog] base_parser=syslog message_decoder=syslog_message_decoder debug=yes [parser|syslog_message_decoder] base_parser=kvp fields=*
Analizar con la opción message_decoder
El siguiente ejemplo incluye un evento de muestra y los campos que un analizador syslog configurado para utilizar la opción message_decoder le agrega:
- Evento de ejemplo:
2015-09-09 13:38:31.619407 +0400 smith01 john: Fri Dec 5 08:58:26 2014 [pid 26123] [jsmith.net] status_code=FAIL oper_ ation=LOGIN: Client "176.31.17.46"
- Devuelto por un analizador syslog al que se le aplica la opción message_decoder para ejecutar un analizador de KVP:
timestamp=2015-09-09T09:38:31.619407 appname=john status_code=FAIL operation=LOGIN:
Configurar la opción extract_sd para analizar datos estructurados
Para analizar datos estructurados, habilite la opción extract_sd. Para ello, defina los valores de configuración del archivo liagent.ini para que sean similares a los del siguiente ejemplo:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog_parser [parser|syslog_parser] base_parser=syslog extract_sd=yes
Analizar con la opción extract_sd
El siguiente ejemplo incluye un evento de muestra y los campos que un analizador syslog configurado para utilizar la opción extract_sd le agrega:
- Evento de ejemplo:
<165>1 2017-01-24T09:17:15.719Z localhost evntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"] Found entity IPSet, display name dummy ip set 1411 - El analizador syslog agrega los siguientes campos al evento:
timestamp=2017-01-24T09:17:15.719000 pri_facility=20 pri_severity=5 procid="-" msgid="ID47" iut="3" eventsource="Application" eventid="1011" class="high" appname="evntslog"
Campos extraídos por el analizador
El analizador extrae automáticamente los siguientes campos de un evento:
| Clasificación de RFC | pri_facility | pri_severity | timestamp | appname | procid | msgid |
|---|---|---|---|---|---|---|
| Sin RFC | X | X | ||||
| RFC-3164 | X | X | X | X | ||
| RFC-5424 | X | X | X | X | X | X |
Opciones del analizador syslog
La siguiente tabla describe las opciones de syslog disponibles.
| Opción | Descripción |
|---|---|
message_decoder |
Define un analizador adicional, que se utiliza para analizar el cuerpo del mensaje de un evento. Puede ser un analizador integrado, ya sea automático o personalizado. |
extract_sd |
Analiza datos estructurados. La opción extract_sd option solo admite los valores yes o no. La opción está desactivada de forma predeterminada. Cuando se habilita la opción extract_sd, simplemente extrae todos los pares clave-valor de los datos estructurados. |
Analizar el estándar RFC-5424
Los siguientes ejemplos muestran dos eventos analizados por una instancia de syslog configurada. Se incluye la configuración utilizada para el recopilador, un evento de muestra y los campos que le agrega el analizador syslog.- Configuración:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- Un evento generado en el archivo supervisado:
<165>1 2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT [[email protected] username=\"regress\"] User 'regress' exiting configuration mode - Juniper format - Campos que el analizador syslog agrega al evento:
The following fields will be added to the event by Syslog parser: timestamp=2017-01-24T09:17:15.719000 pri_facility = 20 pri_severity = 5 procid = 3046 msgid = UI_DBASE_LOGOUT_EVENT appname = mgd
Analizar el estándar RFC-3164
El siguiente ejemplo muestra la configuración utilizada para el recopilador, un evento de RFC-3164 de muestra y los campos que syslog agrega al evento.
- Configuración:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- Un evento de RFC-3164 generado en el archivo supervisado:
<13>2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT User 'regress' exiting configuration mode - Juniper format
- Campos que el analizador syslog agrega al evento:
timestamp=2017-01-24T09:17:15.719000 pri_facility=1 pri_severity=5 appname="mgd"