L'analyseur Syslog prend en charge les options message_decoder et extract_sd et détecte automatiquement trois formats : RFC-6587, RFC-5424 et RFC-3164.
Configuration de l'option message_decoder
Toutes les options courantes, ainsi que l'option message_decoder sont disponibles pour l'analyseur Syslog. Par défaut, seuls les champs timestamp et appname sont extraits. Activez l'option message_decoder en définissant les valeurs de configuration du fichier liagent.ini comme indiqué dans l'exemple suivant :
[filelog|data_logs] directory=D:\Logs include=*.txt parser=mysyslog [parser|mysyslog] base_parser=syslog message_decoder=syslog_message_decoder debug=yes [parser|syslog_message_decoder] base_parser=kvp fields=*
Analyse avec l'option message_decoder
L'exemple suivant montre un exemple d'événement et les champs ajoutés à l'événement par un analyseur Syslog configuré pour utiliser l'option message_decoder :
- Exemple d'événement :
2015-09-09 13:38:31.619407 +0400 smith01 john: Fri Dec 5 08:58:26 2014 [pid 26123] [jsmith.net] status_code=FAIL oper_ ation=LOGIN: Client "176.31.17.46"
- Renvoyé par un analyseur Syslog auquel l'option message_decoder est appliquée pour exécuter un analyseur KVP :
timestamp=2015-09-09T09:38:31.619407 appname=john status_code=FAIL operation=LOGIN:
Configuration de l'option extract_sd pour l'analyse de données structurées
Pour analyser des données structurées, activez l'option extract_sd en définissant les valeurs de configuration du fichier liagent.ini comme indiqué dans l'exemple suivant :
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog_parser [parser|syslog_parser] base_parser=syslog extract_sd=yes
Analyse avec l'option extract_sd
L'exemple suivant montre un exemple d'événement et les champs ajoutés à l'événement par un analyseur Syslog configuré pour utiliser l'option extract_sd :
- L'exemple d'événement :
<165>1 2017-01-24T09:17:15.719Z localhost evntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"] Found entity IPSet, display name dummy ip set 1411 - Les champs suivants sont ajoutés à l'événement par l'analyseur Syslog :
timestamp=2017-01-24T09:17:15.719000 pri_facility=20 pri_severity=5 procid="-" msgid="ID47" iut="3" eventsource="Application" eventid="1011" class="high" appname="evntslog"
Champs extraits par l'analyseur
L'analyseur extrait automatiquement les champs suivants à partir d'un événement :
| Classification RFC | pri_facility | pri_severity | timestamp | appname | procid | msgid |
|---|---|---|---|---|---|---|
| Non-RFC | X | X | ||||
| RFC-3164 | X | X | X | X | ||
| RFC-5424 | X | X | X | X | X | X |
Options de l'analyseur Syslog
Le tableau suivant décrit les options Syslog disponibles.
| Option | Description |
|---|---|
message_decoder |
Définit un analyseur supplémentaire qui est utilisé pour analyser le corps de message d'un événement. Il peut s'agir d'un analyseur intégré, tel que « auto » ou de tout autre analyseur personnalisé. |
extract_sd |
Analyse les données structurées. Seules les valeurs « yes » ou « no » sont compatibles avec l'option extract_sd. L'option est désactivée par défaut. Lorsque l'option extract_sd est activée, elle extrait simplement toutes les paires clé-valeur des données structurées. |
Analyse pour la norme RFC-5424
Les exemples suivants montrent deux événements analysés par une instance Syslog configurée, la configuration utilisée pour le collecteur, un exemple d'événement et les champs que l'analyseur Syslog ajoute à l'événement.- Configuration :
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- Un événement est généré dans le fichier surveillé :
<165>1 2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT [[email protected] username=\"regress\"] User 'regress' exiting configuration mode - Juniper format - Champs ajoutés à l'événement par l'analyseur Syslog :
The following fields will be added to the event by Syslog parser: timestamp=2017-01-24T09:17:15.719000 pri_facility = 20 pri_severity = 5 procid = 3046 msgid = UI_DBASE_LOGOUT_EVENT appname = mgd
Analyse pour la norme RFC-3164
L'exemple suivant montre la configuration utilisée pour le collecteur, un exemple d'événement RFC-3164 et les champs que Syslog ajoute à l'événement.
- Configuration :
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- Un événement RFC-3164 généré dans le fichier surveillé :
<13>2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT User 'regress' exiting configuration mode - Juniper format
- Champs ajoutés à l'événement par l'analyseur Syslog :
timestamp=2017-01-24T09:17:15.719000 pri_facility=1 pri_severity=5 appname="mgd"
