syslog 구문 분석기는 message_decoder 및 extract_sd 옵션을 지원하며 3개의 형식(RFC-6587, RFC-5424 및 RFC-3164)을 자동으로 감지합니다.
message_decoder 옵션 구성
syslog 구문 분석기에 대해 모든 공통 옵션과 message_decoder 옵션을 사용할 수 있습니다. 기본적으로 timestamp 및 appname 필드만 추출됩니다. 다음 예와 유사하도록 liagent.ini 파일에서 구성 값을 설정하여 message_decoder 옵션을 사용하도록 설정합니다.
[filelog|data_logs] directory=D:\Logs include=*.txt parser=mysyslog [parser|mysyslog] base_parser=syslog message_decoder=syslog_message_decoder debug=yes [parser|syslog_message_decoder] base_parser=kvp fields=*
message_decoder 옵션으로 구문 분석
다음 예는 message_decoder 옵션을 사용하도록 구성된 syslog 구문 분석기에서 이벤트에 추가한 샘플 이벤트 및 필드를 보여줍니다.
- 샘플 이벤트:
2015-09-09 13:38:31.619407 +0400 smith01 john: Fri Dec 5 08:58:26 2014 [pid 26123] [jsmith.net] status_code=FAIL oper_ ation=LOGIN: Client "176.31.17.46"
- KVP 구문 분석기를 실행하도록 message_decoder 옵션이 적용된 syslog 구문 분석기에서 반환됨:
timestamp=2015-09-09T09:38:31.619407 appname=john status_code=FAIL operation=LOGIN:
구조화된 데이터 구문 분석을 위한 extract_sd 옵션 구성
구조화된 데이터를 구문 분석하려면 다음 예와 유사하도록 liagent.ini 파일에서 구성 값을 설정하여 extract_sd 옵션을 사용하도록 설정합니다.
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog_parser [parser|syslog_parser] base_parser=syslog extract_sd=yes
extract_sd 옵션으로 구문 분석
다음 예는 extract_sd 옵션을 사용하도록 구성된 syslog 구문 분석기에서 이벤트에 추가한 샘플 이벤트 및 필드를 보여줍니다.
- 샘플 이벤트:
<165>1 2017-01-24T09:17:15.719Z localhost evntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"] Found entity IPSet, display name dummy ip set 1411
- syslog 구문 분석기에 의해 다음 필드가 이벤트에 추가됨:
timestamp=2017-01-24T09:17:15.719000 pri_facility=20 pri_severity=5 procid="-" msgid="ID47" iut="3" eventsource="Application" eventid="1011" class="high" appname="evntslog"
구문 분석기에서 추출한 필드
구문 분석기는 이벤트에서 자동으로 다음 필드를 추출합니다.
RFC 분류 | pri_facility | pri_severity | timestamp | appname | procid | msgid |
---|---|---|---|---|---|---|
RFC 이외 | X | X | ||||
RFC-3164 | X | X | X | X | ||
RFC-5424 | X | X | X | X | X | X |
Syslog 구문 분석기 옵션
다음 표에서는 사용 가능한 syslog 옵션에 대해 설명합니다.
옵션 | 설명 |
---|---|
message_decoder |
이벤트의 메시지 본문을 구문 분석하는 데 사용하는 추가 구문 분석기를 정의합니다. ‘자동’ 또는 사용자 정의 구문 분석기 등 기본 제공 구문 분석기가 될 수 있습니다. |
extract_sd |
구조화된 데이터를 구문 분석합니다. extract_sd 옵션에는 yes 또는 no 값만 지원됩니다. 이 옵션은 기본적으로 사용되지 않도록 설정되어 있습니다. extract_sd 옵션이 사용되도록 설정되면 구조화된 데이터에서 모든 키-값 쌍이 추출됩니다. |
RFC-5424 표준에 대한 구문 분석
다음 예는 수집기, 샘플 이벤트 및 syslog 구문 분석기에서 이벤트에 추가하는 필드에 사용된 구성을 표시하는 구성된 syslog 인스턴스에서 구문 분석한 두 개의 이벤트를 나타냅니다.- 구성:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- 모니터링된 파일에서 생성된 이벤트:
<165>1 2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT [[email protected] username=\"regress\"] User 'regress' exiting configuration mode - Juniper format
- syslog 구문 분석기에서 이벤트에 추가한 필드:
The following fields will be added to the event by Syslog parser: timestamp=2017-01-24T09:17:15.719000 pri_facility = 20 pri_severity = 5 procid = 3046 msgid = UI_DBASE_LOGOUT_EVENT appname = mgd
RFC-3164 표준에 대한 구문 분석
다음 예는 수집기, 샘플 RFC-3164 이벤트 및 syslog에서 이벤트에 추가한 필드에 사용된 구성을 나타냅니다.
- 구성:
[filelog|simple_logs] directory=/var/log include=*.txt parser=syslog
- 모니터링된 파일에서 생성된 RFC-3164 이벤트:
<13>2017-01-24T09:17:15.719Z router1 mgd 3046 UI_DBASE_LOGOUT_EVENT User 'regress' exiting configuration mode - Juniper format
- syslog 구문 분석기에서 이벤트에 추가한 필드:
timestamp=2017-01-24T09:17:15.719000 pri_facility=1 pri_severity=5 appname="mgd"