L'analyseur Syslog prend en charge les options message_decoder et extract_sd et détecte automatiquement trois formats : RFC-6587, RFC-5424 et RFC-3164.

Configuration de l'option message_decoder

Toutes les options courantes, ainsi que l'option message_decoder sont disponibles pour l'analyseur Syslog. Par défaut, seuls les champs timestamp et appname sont extraits. Activez l'option message_decoder en définissant les valeurs de configuration du fichier liagent.ini comme indiqué dans l'exemple suivant :

[filelog|data_logs]
directory=D:\Logs
include=*.txt
parser=mysyslog

[parser|mysyslog]
base_parser=syslog
message_decoder=syslog_message_decoder
debug=yes

[parser|syslog_message_decoder]
base_parser=kvp
fields=*

Analyse avec l'option message_decoder

L'exemple suivant montre un exemple d'événement et les champs ajoutés à l'événement par un analyseur Syslog configuré pour utiliser l'option message_decoder :

  • Exemple d'événement :
    2015-09-09 13:38:31.619407 +0400 smith01 john: Fri Dec 5 08:58:26 2014 [pid 26123] [jsmith.net] status_code=FAIL oper_
    ation=LOGIN: Client "176.31.17.46"
  • Renvoyé par un analyseur Syslog auquel l'option message_decoder est appliquée pour exécuter un analyseur KVP :
    timestamp=2015-09-09T09:38:31.619407 appname=john status_code=FAIL operation=LOGIN:

Configuration de l'option extract_sd pour l'analyse de données structurées

Pour analyser des données structurées, activez l'option extract_sd en définissant les valeurs de configuration du fichier liagent.ini comme indiqué dans l'exemple suivant :

[filelog|simple_logs]
directory=/var/log
include=*.txt
parser=syslog_parser

[parser|syslog_parser]
base_parser=syslog
extract_sd=yes

Analyse avec l'option extract_sd

L'exemple suivant montre un exemple d'événement et les champs ajoutés à l'événement par un analyseur Syslog configuré pour utiliser l'option extract_sd :

  • L'exemple d'événement : <165>1 2017-01-24T09:17:15.719Z localhost evntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"] Found entity IPSet, display name dummy ip set 1411
  • Les champs suivants sont ajoutés à l'événement par l'analyseur Syslog :
    timestamp=2017-01-24T09:17:15.719000
    pri_facility=20
    pri_severity=5
    procid="-"
    msgid="ID47"
    iut="3"
    eventsource="Application"
    eventid="1011"
    class="high"
    appname="evntslog"

Champs extraits par l'analyseur

L'analyseur extrait automatiquement les champs suivants à partir d'un événement :

Classification RFC pri_facility pri_severity timestamp appname procid msgid
Non-RFC X X
RFC-3164 X X X X
RFC-5424 X X X X X X

Options de l'analyseur Syslog

Le tableau suivant décrit les options Syslog disponibles.

Option Description
message_decoder

Définit un analyseur supplémentaire qui est utilisé pour analyser le corps de message d'un événement. Il peut s'agir d'un analyseur intégré, tel que « auto » ou de tout autre analyseur personnalisé.

extract_sd Analyse les données structurées.

Seules les valeurs « yes » ou « no » sont compatibles avec l'option extract_sd. L'option est désactivée par défaut. Lorsque l'option extract_sd est activée, elle extrait simplement toutes les paires clé-valeur des données structurées.

Analyse pour la norme RFC-5424

Les exemples suivants montrent deux événements analysés par une instance Syslog configurée, la configuration utilisée pour le collecteur, un exemple d'événement et les champs que l'analyseur Syslog ajoute à l'événement.
  • Configuration :
    [filelog|simple_logs]
    directory=/var/log
    include=*.txt
    parser=syslog
    
  • Un événement est généré dans le fichier surveillé :

    <165>1 2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT [junos@2636.1.1.1.2.18 username=\"regress\"] User 'regress' exiting configuration mode - Juniper format

  • Champs ajoutés à l'événement par l'analyseur Syslog :
    The following fields will be added to the event by Syslog parser:
    timestamp=2017-01-24T09:17:15.719000
    pri_facility = 20
    pri_severity = 5
    procid = 3046
    msgid = UI_DBASE_LOGOUT_EVENT
    appname = mgd
    
    

Analyse pour la norme RFC-3164

L'exemple suivant montre la configuration utilisée pour le collecteur, un exemple d'événement RFC-3164 et les champs que Syslog ajoute à l'événement.

  • Configuration :
    [filelog|simple_logs]
    directory=/var/log
    include=*.txt
    parser=syslog
    
  • Un événement RFC-3164 généré dans le fichier surveillé :
    <13>2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT User 'regress' exiting configuration mode - Juniper format
    
  • Champs ajoutés à l'événement par l'analyseur Syslog :
     
    timestamp=2017-01-24T09:17:15.719000
    pri_facility=1
    pri_severity=5
    appname="mgd"