rsyslog模块 -- mmfields

最新推荐文章于 2022-04-19 12:13:26 发布
最新推荐文章于 2022-04-19 12:13:26 发布
阅读量247 收藏
点赞数
文章标签: 运维 json python
原文链接:https://my.oschina.net/MrYx3en/blog/495385
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

官方示例

下面简单的示例的每个msg都按照指定格式被解析。逗号被作为默认分隔符。

module(load="mmfields")
template(name="ftpl"
         type=string
         string="%$!%\\n")
action(type="mmfields")
action(type="omfile"
       file="/path/to/logfile"
       template="ftpl")

下面的示例和前一个有点类似,但是这次指定使用  ':' 冒号 作为分隔符,而且数据被写入以  '$!mmfields'  开始的 json路径

module(load="mmfields")
template(name="ftpl"
         type=string
         string="%$!%\\n")
action(type="mmfields"
       separator=":"
       jsonRoot="!mmfields")
       action(type="omfile"
       file="/path/to/logfile"
       template="ftpl")

实际解析

nginx.conf定义的日志格式

log_format              proxyformat    "$remote_addr`$request_time_usec`$http_x_readtime`[$time_local]`$host`$request_method`$scheme://$host$request_uri`$status`$body_bytes_sent`$http_referer`$upstream_addr`$upstream_response_time`$http_user_agent";

结合mmfields和omelasticsearch模块,收集nginx日志,并发送给ES:

module(load='mmfileds')
module(load="omelasticsearch")
module(load='imfile')

template( name="jsonmesgTemplate" type="string" string="%jsonmesg%\n" )
template( name="linetemplate" type="list" )
{
    constant(vaule="{")
    property(name="$!line" position.from="2")
    constant(value="\n")
}

Ruleset( name='mmfieldsruleset' )
{
    action (
        type="mmfields"
        separator="`"
        jsonRoot="!mmfields"
    )
    set $!line!remote_addr = $!mmfields!f1;
    set $!line!request_time_usec = $!mmfields!f2;
    set $!line!http_x_readtime = $!mmfields!f3;
    set $!line!time_local = $!mmfields!f4;
    set $!line!host = $!mmfields!f5;
    set $!line!request_method = $!mmfields!f6;
    set $!line!request = $!mmfields!f7;
    set $!line!status = $!mmfields!f8;
    set $!line!body_bytes_sent = $!mmfields!f9;
    set $!line!http_referer = $!mmfields!f10;
    set $!line!upstream_addr = $!mmfields!f11;
    set $!line!upstream_response_time = $!mmfields!f12;
    set $!line!http_user_agent = $!mmfields!f13;

    action (
        type="omelasticsearch"
        template="linetemplate"
        ...
    )
    action (
        type="omfile"
        name="action_omfile-mmfields"
        File="/opt/nginx-access-mmfields.log"
#        template="jsonmesgTemplate"
        template="linetemplate"
        FileCreateMode="0644"
        flushOnTXEnd="off" 
        ioBufferSize="8192k"
        flushInterval="5"
    )
}

input( type='imfile' Flie='/var/log/nginx/access.log' Tag='nginx-access' Facility='local6' persiststateinterval='1000' )

if( $programname == "nginx-access" and $syslogfacility-text == "local6" ) then {
    call mmfieldsruleset
    stop
}

nginx-access-mmfields.log

{
    "remote_addr": "ip.ip.ip.ip",
    "request_time_usec": "1921",
    "http_x_readtime": "-",
    "time_local": "[08/Dec/2015:14:56:41 +0800]",
    "host": "a.b.com",
    "request_method": "HEAD",
    "request": "https://urlpath/globalConfig.json",
    "status": "200",
    "body_bytes_sent": "0",
    "http_referer": "-",
    "upstream_addr": "ip.ip.ip.ip:80",
    "upstream_response_time": "0.002",
    "http_user_agent": "Dalvik/2.1.0 (Linux; U; Android 5.1.1; OPPO A53m Build/LMY47V)"
}

转载于:https://my.oschina.net/MrYx3en/blog/495385

weixin_33888907
关注
rsyslog 输入模块imfile
weixin_33704234的博客
07-05 2226
rsyslog 输入模块imfile 实验: 读取 /var/log/test.in 日志, 输出到 /var/log/test.out 文档: imfile: Text File Input Module 版本 创建 /etc/rsyslog.d/10-file-test.conf 配置文件 lidashuang@ubuntu:/e...
rsyslog-kafka-8.24.0-57.el7-9.3.x86-64.rpm
05-26
rsyslog-kafka-8.24.0-57.el7_9.3.x86_64.rpm是rsyslog插件
rsyslog
知本知至的博客
01-27 3082
rsyslog
rsyslog使用field切分日志
weixin_34071713的博客
10-26 660
场景: 有一个解析乱七八糟日志的需求,格式由于各种原因改不了,并且日志的目的地只能传输到rsyslog。需求就是从乱七八糟的日志中提取出需要的信息。 解析前的日志如下: |! |! |!2|!1|!0|!0|! |! |! |! |!0|!0|! |! |! |! |!0|!0|! |!|! |! |!0|!0|! |! |!1.1.1.1|!1540438466000|!154043631676...
rsyslog-mmjsonparse-8.1911.0-7.el8_4.2.x86_64.rpm
12-19
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
tengine日志切割-配置分钟级别日志自动切割
weixin_30685047的博客
08-03 195
安装 以安装最新版本的tengine-2.1.2版本 下载连接 tengine支持许多变量 变量 $conn_requests 当前请求在长连接上的序号 $dollar 表示美元符号本身 $request_time_msec 请求处理时间,单位是毫秒,用于log_format中 $request_time_usec 请求处理时间,单位是微秒,用于log_format中 $unix_tim...
rsyslog-mysql-8.24.0-34.el7.x86_64.rpm
11-30
离线安装包,亲测可用
rsyslog-mmfields-8.2102.0-6.el8.aarch64.rpm
12-16
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
rsyslog-mmfields-8.2102.0-6.el8.x86_64.rpm
12-19
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
rsyslog-mmfields-8.2102.0-6.el8.ppc64le.rpm
12-16
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
AWK分析access日志中的应用
pengplj的专栏
03-10 1158
要即时分析线上访问商品情况,命中率,缓存,热点商品统计,比如一小时内,数秒内的值,还有一些其它数据指标的分析。这个时候AWK就显得非常强大了。 日志格式: 由Nginx配置 $remote_addr $request_time_usec $http_x_readtime [$time_local] \"$request_methodhttp://$host$request_uri\" $st
elasticsearch 使用事项
elixirzhang的博客
06-18 344
[b][size=large][color=green]template的使用[/color][/size][/b] 刚开始的时候,每次实验都去改/etc/elasticsearch/elasticsearch.yml配置文件。事实上在template里修改settings更方便而且灵活!当然最主要的,还是调节里面的properties设定,合理的控制store和analyze了。 tem...
对nginx 日志$request_time 字段的详细理解
热门推荐
ikko的博客
01-03 2万+
对nginx 日志$request_time 字段的详细理解nginx 日志的疑问分析$request_time模拟测试测试结果结果分析结论 nginx 日志的疑问 有一个接收高并发请求的接口做了错误报警,首先访问a.kuyun.com,访问失败的时候会访问b.kuyun.com,两个域名分别部署在不同的机房,使用不同的nginx(下文用ngx-a ngx-b 分别指代两个域名)。正常的话ngx-...
rsyslog研究
u010154760的专栏
04-20 2194
第零章 综述 最近因为工作需要研究了rsyslog,主要是把官网的文档看了一遍,因为学习的过程中,发现中文资料很少,所以研究的差不多以后,决定拿出来分享一下。 rsyslog官网的文档还是挺烂的(在我看完后,官网有了一次改版,可能好一些了),尤其是配置文件部分,每个版本都有改动,但是官网只有最新版本的参数介绍,好几次我按照文档的参数写配置文件,或者报错,或者参数不起作用,因此大家使用哪个版本的
Rsyslog——第三章 实例
浪子心声
11-07 3933
第三章 实例 3.1 Tcp+DA模式实现可靠消息传输。 Rsyslog单独使用了一篇文档来介绍实现可靠消息传输。 首先rsyslog阐述了单独使用tcp协议的不可靠性,比如server端宕机等等情况。为此如上面介绍队列时提到的内容,我们需要在client配置一个本地文件,用来在server端宕机这种情况下,暂时保存消息。需要注意的是,队列名是和过滤规则对应的,一个队列只能用于一
使用rsyslog收集日志
weixin_34252090的博客
02-14 1236
为什么使用rsyslog?1.他是POSIX-like系统中标准的logging,有些软件,比如haproxy,只使用syslog。所以你不能完全消除它2.通过网络硬件被使用3.它有更复杂的设置,但更多的功能比竞争对手的更好。例如,Elastic Filebeat仍然不能使用inofity4.低内存的使用。5.允许在保存和转发之前更改消...
rsyslog参数说明
weixin_33989058的博客
07-02 648
为什么80%的码农都做不了架构师?>>> ...
Linux中阶—日志采集rsyslog(二)
亓荼的博客
04-19 2365
#rsyslog软件定义: rsyslog是多线程、高并发、模块化的日志系统,rsyslog的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。#软件架构如下: Input模块包括imklg、imsock、imfile、imtcp、imudp 等,是消息来源; Queue模块负责消息的存储,从Input传入的未经过滤的消息放在主队列中; Filetr模块处理消息的分析和过滤,rsyslog可以根据消息的任何部分进行过滤; action qu
Rsyslog v8-stable版本详细配置说明及详细配置案例
最新发布
06-10
Rsyslog是一种流行的系统日志服务器,它可以接收、处理和转发各种系统日志消息。下面是Rsyslog v8-stable版本的详细配置说明及使用案例。 1. 安装Rsyslog 在大多数Linux发行版中,Rsyslog已经预安装了,如果没有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值