syslog パーサは message_decoder と extract_sd オプションをサポートし、RFC-6587、RFC-5424 と RFC-3164 の 2 つのフォーマットを自動的に検出します。
message_decoder オプションの構成
syslog パーサには、すべての共通オプションと message_decoder オプションを使用できます。デフォルトでは、timestamp と appname フィールドのみが抽出されます。次の例のように liagent.ini ファイルの構成値を設定して、message_decoder オプションを有効にします。
[filelog|data_logs] directory=D:\Logs include=*.txt parser=mysyslog [parser|mysyslog] base_parser=syslog message_decoder=syslog_message_decoder debug=yes [parser|syslog_message_decoder] base_parser=kvp fields=*
message_decoder オプションによる解析
次の例は、サンプルのイベントと、message_decoder オプションを使用するように構成された syslog パーサによってイベントに追加されるフィールドを示しています。
- サンプルのイベント:
2015-09-09 13:38:31.619407 +0400 smith01 john: Fri Dec 5 08:58:26 2014 [pid 26123] [jsmith.net] status_code=FAIL oper_ ation=LOGIN: Client "176.31.17.46"
- KVP パーサを実行するために message_decoder オプションが適用されている syslog パーサによって返されます。
timestamp=2015-09-09T09:38:31.619407 appname=john status_code=FAIL operation=LOGIN:
構造化データの解析のための extract_sd オプションの設定
構造化データを解析するには、次の例のように liagent.ini ファイルの構成値を設定して、extract_sd オプションを有効にします。
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog_parser [parser|syslog_parser] base_parser=syslog extract_sd=yes
extract_sd オプションによる解析
次の例は、サンプルのイベントと、extract_sd オプションを使用するように構成された syslog パーサによってイベントに追加されるフィールドを示しています。
- サンプルのイベント:
<165>1 2017-01-24T09:17:15.719Z localhost evntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"] Found entity IPSet, display name dummy ip set 1411 - syslog パーサによって、次のフィールドがイベントに追加されます。
timestamp=2017-01-24T09:17:15.719000 pri_facility=20 pri_severity=5 procid="-" msgid="ID47" iut="3" eventsource="Application" eventid="1011" class="high" appname="evntslog"
パーサによって抽出されるフィールド
パーサは、イベントから次のフィールドを自動的に抽出します。
| RFC の分類 | pri_facility | pri_severity | timestamp | appname | procid | msgid |
|---|---|---|---|---|---|---|
| RFC 以外 | X | X | ||||
| RFC-3164 | X | X | X | X | ||
| RFC-5424 | X | X | X | X | X | X |
syslog パーサのオプション
次の表に、使用可能な syslog オプションを示します。
| オプション | 説明 |
|---|---|
message_decoder |
イベントのメッセージ本文を解析するために使用される追加のパーサを定義します。これには「auto」などの組み込みのパーサ、あるいは任意のカスタム定義のパーサがあります。 |
extract_sd |
構造化データを解析します。 extract_sd オプションでは [yes] または [no] の値のみがサポートされます。オプションは、デフォルトでは無効です。extract_sd オプションを有効にすると、構造化データからすべてのキー/値ペアが抽出されます。 |
RFC-5424 標準の解析
次の例は、syslog インスタンスによって解析される 2 つのイベントを示します。このインスタンスは、コレクタ、サンプルのイベント、および syslog パーサがイベントに追加するフィールドに使用される構成を示します。- 構成:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- 監視対象のファイル内で生成されるイベント:
<165>1 2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT [[email protected] username=\"regress\"] User 'regress' exiting configuration mode - Juniper format - syslog パーサによってイベントに追加されるフィールド。
The following fields will be added to the event by Syslog parser: timestamp=2017-01-24T09:17:15.719000 pri_facility = 20 pri_severity = 5 procid = 3046 msgid = UI_DBASE_LOGOUT_EVENT appname = mgd
RFC-3164 標準の解析
次の例は、コレクタに使用される構成、サンプルの RFC-3164 イベント、および syslog がイベントに追加するフィールドを示します。
- 構成:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- 監視対象のファイル内で生成される RFC-3164 イベント:
<13>2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT User 'regress' exiting configuration mode - Juniper format
- syslog パーサによってイベントに追加されるフィールド。
timestamp=2017-01-24T09:17:15.719000 pri_facility=1 pri_severity=5 appname="mgd"
