rsyslog使用field切分日志

最新推荐文章于 2023-08-29 19:33:21 发布
最新推荐文章于 2023-08-29 19:33:21 发布
阅读量641 收藏
点赞数
文章标签: 数据库 操作系统
原文链接:http://blog.51cto.com/leejia/2309504
版权

场景:

有一个解析乱七八糟日志的需求,格式由于各种原因改不了,并且日志的目的地只能传输到rsyslog。需求就是从乱七八糟的日志中提取出需要的信息。

解析前的日志如下:

|! |! |!2|!1|!0|!0|! |! |! |! |!0|!0|! |! |! |! |!0|!0|! |!|! |! |!0|!0|! |! |!1.1.1.1|!1540438466000|!1540436316761|!2.2.2.2|!0|!0|!0|!0.0|!6|! |!0|!0|!0|!0|!0.0|!0.0|! |! |! |! |! |! |!0|!0|!0|!0|!0|!0|!0|!0|! |! |! |! |! |! |! |!yxgl-web03 root: 3.3.3.3#0112018-01-25#01111:34:26#011POST#011/index.html#011"http://4.4.4.4/get"#011"Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"#011200#011359|!

要的日志:

3.3.3.3#0112018-01-25#01111:34:26#011POST#011/index.html#011"http://4.4.4.4/get"#011"Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"#011200#011359

rsyslog实现

1,rsyslog相关软件版本:

rsyslog-kafka-8.38.0-1.el7.x86_64
rsyslog-8.38.0-1.el7.x86_64

2,配置

set $!usr!one = field($msg, " root: ", 2);
set $!usr!two = field($!usr!one, "|!", 1);
template (name="l7" type="string" string="%$!usr!two%")
local5.info /tmp/1.log;l7

通过field把msg以" root: "为分隔符切分,然后取第二个字段并赋值给\$!usr!one;然后,再把\$!usr!one以"|!"为分隔符切分,取第一个字段即为我们要的数据。

参考文档

https://www.rsyslog.com/doc/v8-stable/rainerscript/functions/rs-field.html
https://www.rsyslog.com/doc/v8-stable/configuration/templates.html
https://www.rsyslog.com/doc/v8-stable/configuration/properties.html

转载于:https://blog.51cto.com/leejia/2309504

weixin_34071713
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux常用命令之日志轮转,日志切割
qq_45429357的博客
03-11 937
日志轮转,计划任务,两个难点
linux常用命令之日志轮转 日志切割
qq_45429357的博客
03-04 497
日志轮转,日志切割
等保Linux日志切割,日志操作rsyslog
weixin_39762075的博客
05-06 466
一 基础认识1、选择条件选择条件本身分为两个字段,之间用一个小数点(.)分隔。前一字段是一项服务,后一字段是一个优先级。选择条件是对消息类型的一种分类,这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件,但必须用分号(;)隔开。常见facility类型:kern 内核信息;user 用...
日志服务器搭建之多服务器日志转发与格式化处理
weixin_33701294的博客
02-17 259
日志服务器搭建是靠linux的rsyslog功能作日志转发和日志收集的 rsyslog是由一台Linux服务器作日志服务器,收集其他服务器即rsyslog客户端转发过来的日志,所以rsyslog既可以作为日志服务器,也可以作为日志客户端去使用 rsyslog配置介绍 rsyslog配置包括/etc/rsyslog.conf文件和/etc/...
centos-配置rsyslog自动切割服务日志
打卤的博客
12-06 1911
cat /etc/logrotate.d/vsftpd /var/log/vsftpd.log { # ftpd doesn't handle SIGHUP properly #daily指定转储周期为每天 #monthly指定转储周期为每月 daily #如果日志文件不存在,不报错 missingok #用日期来做轮转之后的文件的后缀名 dat...
rsyslog所有用户日志审计
12-22
对于普通用户的日志审计,可以使用bash的history功能来记录用户的命令操作记录。在上面的部分内容中,添加了以下命令: vim /etc/profile 在/etc/profile 末尾添加export HISTORY_FILE=/var/log/userAudit.log ...
rsyslog日志转发配置(服务端和客户端)
12-06
linux rsyslog日志转发配置(服务端和客户端),配置日志转发服务,把系统日志转发到其他linux系统
rsyslog日志服务器一键部署脚本
11-11
日志服务rsyslog的一键部署脚本,本人亲测通过,可进入我的主页(博文关键词:rsyslog)查看免费脚本内容,更多免费脚本均在我的博客,主要语言为python、shell
Centos8 搭建日志服务器rsyslog+loganalyzer
08-12
本文将指导您如何在 CentOS 8 上搭建一个日志服务器,使用 rsyslog 收集外部设备的日志,并使用 loganalyzer 进行 Web 管理。 一、安装 CentOS 8 在开始搭建日志服务器之前,需要首先安装 CentOS 8 操作系统。安装...
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS双向认证
最新发布
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议双向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
15、自定义日志文件、远程日志rsyslog)、日志切割(轮转) 、计划任务
2301_79092588的博客
07-31 362
我要自定义一个日志文件,单独存放ssh服务所产生的日志(ssh所产生的日志只能存放在自定义的文件中)vi /etc/rsyslog.conf //进入到主配置文件---->加上local2.*1、/etc/logrotate.conf (决定每个日志文件如何轮转)查看:at -l 、 ls /var/spool/at(一次性计划任务)minsize 1M //最小达到1M才轮转,即到了规定的时间未达到大小不会轮转。logrotate -f ssh(规则文件) //强制轮转。
rsyslog模块 -- mmfields
weixin_33888907的博客
08-21 232
2019独角兽企业重金招聘Python工程师标准>>> ...
Rsyslog
weixin_30834019的博客
11-02 72
1、Rsyslog概述 rsyslog日志的处理上是一个rockt-fast系统,提供高性能,提供非常安全的功能,并且提供模块化设计,以rsyslogd作为守护进程,并且逐渐的成为日志系统中一把瑞士军刀,将可以: 接收各种源的输入 转变日志 输出到各种各样的目的地 rsyslogd的升级是对原有的日志系统进行功能的扩展,提供了诸如过滤器,日志加密保护,各种配置选项,输入输出模块,支持通过T...
rsyslog——第二章 rsyslog的概念
浪子心声
11-07 7604
第二章 rsyslog的概念 2.1属性替代 Rsyslog 预定义了一些属性,来代表消息中的信息,我们可以在定义输出格式、动态文件名的时候使用到这些属性。这里面比较重要的属性比如:msg(消息体)、hostname、pri(消息等级和类别)、time(时间有关),属性的名称中以$开头的是从本地系统获得的变量、不带$是从消息中获得变量。 属性替代的语法格式: %prop
切分log日志
weixin_34380781的博客
07-19 295
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux:日志系统rsyslog日志轮转logrotate
一个认真学习的女孩子的博客
08-29 1845
Linux系统和许多程序会产生各种错误信息、告警信息和其他的提示信息,这些各种信息都应该记录到日志文件中,完成这个过程的程序就是rsyslog
rsyslog按天日志,按程序名programname分割不同日志文件
林三的专栏
07-10 9966
配置文件: $template testdailylog,"/var/log/test/backup/%programname%_%$year%-%$month%-%$day%.log" if $syslogfacility-text == "local0" then { #$programname == "test" then {         action(type="omfi
rsyslog、logrotate切割保存日志日期不准确的问题
a_tu_的专栏
06-22 4993
相信用过rsyslogd  logrotate转存切割日志的同学,都会发现日志转存后的文件,会出现日期不准确的问题 例如:6月21号生成的日志,无缘无故转存到了6月22号的文件里,日期提前了一天。 又或者就算21号的日志转存到了21号的文件里,当你打开却发现里面的内容有20号。 经过几天的验证,终于发现有一种方法,几乎做到了安全按照每天来清晰的分隔日志。就在上篇文章中大致介绍了做法,
重启rsyslog服务时出现问题(误删/var/log/messages解决方案)
weixin_33872566的博客
11-27 2392
今天修改了/etc/rsyslog.conf中的内容后,想着要通过systemctl restart rsyslog重启服务,但是执行完命令后,总感觉/etc/rsyslog.conf中修改的内容没有生效。 于是乎就去看了下/var/log/messages下的日志文件,发现有这样一行提示:Mar  1 21:33:39 localhost rsyslogd-2027: imjournal...
使用rsyslog手机vcenter server6.0的日志
05-25
使用 rsyslog 收集 vCenter Server 6.0 的日志,可以按照以下步骤操作: 1. 在 vCenter Server 上安装 rsyslog。 2. 配置 rsyslog,使其能够接收来自 vCenter Server 的日志消息。可以通过编辑 rsyslog 的配置文件 /etc/rsyslog.conf 来实现。添加以下行: ``` $ModLoad imudp $UDPServerRun 514 ``` 这样就启用了 UDP 监听器,并将其绑定到 514 端口。如果你想使用 TCP 协议,可以将 imudp 改为 imtcp。 3. 配置 vCenter Server,使其将日志消息发送到 rsyslog。可以通过 vCenter Server Web 客户端的管理界面来实现。在“管理”>“vCenter Server 配置”下,选择“日志配置”,然后在“远程日志主机”下输入 rsyslog 的 IP 地址。点击“保存设置”即可。 4. 重新启动 rsyslog 服务,以加载新的配置。在 CentOS 系统上,可以使用以下命令: ``` systemctl restart rsyslog ``` 这样,rsyslog 就可以接收来自 vCenter Server 的日志消息了。你可以在 rsyslog日志文件 /var/log/messages 中查看这些消息。如果你想将这些消息保存到单独的文件中,可以在 rsyslog 的配置文件中添加相应的规则。例如,可以使用以下配置将所有来自 vCenter Server 的日志消息保存到 /var/log/vcenter.log 中: ``` if $fromhost-ip == "vcenter.example.com" then /var/log/vcenter.log ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值