syslog 구문 분석기는 message_decoder 및 extract_sd 옵션을 지원하며 두 개의 형식(RFC-6587, RFC-5424 및 RFC-3164)을 자동으로 감지합니다.

message_decoder 옵션 구성

syslog 구문 분석기에 대해 모든 공통 옵션과 message_decoder 옵션을 사용할 수 있습니다. 기본적으로 timestampappname 필드만 추출됩니다. 다음 예와 유사하도록 liagent.ini 파일에서 구성 값을 설정하여 message_decoder 옵션을 사용하도록 설정합니다.

[filelog|data_logs]
directory=D:\Logs
include=*.txt
parser=mysyslog

[parser|mysyslog]
base_parser=syslog
message_decoder=syslog_message_decoder
debug=yes

[parser|syslog_message_decoder]
base_parser=kvp
fields=*

message_decoder 옵션으로 구문 분석

다음 예는 message_decoder 옵션을 사용하도록 구성된 syslog 구문 분석기에서 이벤트에 추가한 샘플 이벤트 및 필드를 보여줍니다.

  • 샘플 이벤트:
    2015-09-09 13:38:31.619407 +0400 smith01 john: Fri Dec 5 08:58:26 2014 [pid 26123] [jsmith.net] status_code=FAIL oper_
    ation=LOGIN: Client "176.31.17.46"
  • KVP 구문 분석기를 실행하도록 message_decoder 옵션이 적용된 syslog 구문 분석기에서 반환됨:
    timestamp=2015-09-09T09:38:31.619407 appname=john status_code=FAIL operation=LOGIN:

구조화된 데이터 구문 분석을 위한 extract_sd 옵션 구성

구조화된 데이터를 구문 분석하려면 다음 예와 유사하도록 liagent.ini 파일에서 구성 값을 설정하여 extract_sd 옵션을 사용하도록 설정합니다.

[filelog|simple_logs]
directory=/var/log
include=*.txt
parser=syslog_parser

[parser|syslog_parser]
base_parser=syslog
extract_sd=yes

extract_sd 옵션으로 구문 분석

다음 예는 extract_sd 옵션을 사용하도록 구성된 syslog 구문 분석기에서 이벤트에 추가한 샘플 이벤트 및 필드를 보여줍니다.

  • 샘플 이벤트: <165>1 2017-01-24T09:17:15.719Z localhost evntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"] Found entity IPSet, display name dummy ip set 1411
  • syslog 구문 분석기에 의해 다음 필드가 이벤트에 추가됨:
    timestamp=2017-01-24T09:17:15.719000
    pri_facility=20
    pri_severity=5
    procid="-"
    msgid="ID47"
    iut="3"
    eventsource="Application"
    eventid="1011"
    class="high"
    appname="evntslog"

구문 분석기에서 추출한 필드

구문 분석기는 이벤트에서 자동으로 다음 필드를 추출합니다.

RFC 분류 pri_facility pri_severity timestamp appname procid msgid
RFC 이외 X X
RFC-3164 X X X X
RFC-5424 X X X X X X

Syslog 구문 분석기 옵션

다음 표에서는 사용 가능한 syslog 옵션에 대해 설명합니다.

옵션 설명
message_decoder

이벤트의 메시지 본문을 구문 분석하는 데 사용하는 추가 구문 분석기를 정의합니다. ‘자동’ 또는 사용자 정의 구문 분석기 등 기본 제공 구문 분석기가 될 수 있습니다.

extract_sd 구조화된 데이터를 구문 분석합니다.

extract_sd 옵션에는 yes 또는 no 값만 지원됩니다. 이 옵션은 기본적으로 비활성화되어 있습니다. extract_sd 옵션이 사용되도록 설정되면 구조화된 데이터에서 모든 키-값 쌍이 추출됩니다.

RFC-5424 표준에 대한 구문 분석

다음 예는 수집기, 샘플 이벤트 및 syslog 구문 분석기에서 이벤트에 추가하는 필드에 사용된 구성을 표시하는 구성된 syslog 인스턴스에서 구문 분석한 두 개의 이벤트를 나타냅니다.
  • 구성:
    [filelog|simple_logs]
    directory=/var/log
    include=*.txt
    parser=syslog
    
  • 모니터링된 파일에서 생성된 이벤트:

    <165>1 2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT [junos@2636.1.1.1.2.18 username=\"regress\"] User 'regress' exiting configuration mode - Juniper format

  • syslog 구문 분석기에서 이벤트에 추가한 필드:
    The following fields will be added to the event by Syslog parser:
    timestamp=2017-01-24T09:17:15.719000
    pri_facility = 20
    pri_severity = 5
    procid = 3046
    msgid = UI_DBASE_LOGOUT_EVENT
    appname = mgd
    
    

RFC-3164 표준에 대한 구문 분석

다음 예는 수집기, 샘플 RFC-3164 이벤트 및 syslog에서 이벤트에 추가한 필드에 사용된 구성을 나타냅니다.

  • 구성:
    [filelog|simple_logs]
    directory=/var/log
    include=*.txt
    parser=syslog
    
  • 모니터링된 파일에서 생성된 RFC-3164 이벤트:
    <13>2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT User 'regress' exiting configuration mode - Juniper format
    
  • syslog 구문 분석기에서 이벤트에 추가한 필드:
     
    timestamp=2017-01-24T09:17:15.719000
    pri_facility=1
    pri_severity=5
    appname="mgd"