Syslog
Общие сведения
Название плагина: syslog
Ссылка для загрузки плагина: скачать
Минимальная версия Monq: 9.0.0
Минимальная версия агента Monq: 3.0.0
Описание:
Плагин предназначен для получения логов в формате Syslog по TCP/UDP портам.
Может быть использован только при настройке Рабочей конфигурации агента
Формат сценария рабочей конфигурации агента
continuous-jobs:
- init-step:
plugin: syslog
with:
mode: udp
listen: 0.0.0.0
port: 5140
parser: syslog-rfc5424
bufferType: memory
bufferSize: 32
chunkSize: 320
bufferInputName: syslog.job1
streamKey: "ключ потока"
customFields:
agentName: $.agentName
hostname: $.hostname
ip: $.hostAddress
myOwnLabel: MyOwnLabelValue
Параметры конфигурации используемые в сценарии
| Параметр | Тип | Обязательный параметр | Значение по умолчанию | Возможные значения | Описание |
|---|---|---|---|---|---|
| mode | string | нет | udp | - udp - tcp | Определяет транспортный протокол |
| listen | string | нет | 0.0.0.0 | IP-адрес | Задает интерфейс, на котором будет прослушиваться порт. Значение 0.0.0.0 означает прослушивание на всех доступных сетевых интерфейсах. |
| port | string | нет | 5140 | Число от 1 до 65535 | Параметр указывает порт, на котором плагин будет ожидать входящие соединения. |
| parser | string | нет | syslog-rfc5424 | - syslog-rfc5424 - syslog-rfc3164 | Параметр отвечает за выбор правила для разбора сообщений syslog и преобразование их в формат, который может быть обработан системой. |
| bufferType | string | нет | memory | - memory filesystem | Определяет тип памяти для очереди |
| bufferInputName | string | нет | - | Любая строка | Параметр необходим если пользователь хочет слушать разные порты по одному протоколу на агенте. . |
| bufferSize | string | нет | = chunkSize | Любое число | Определяет максимальный размер буфера в килобайтах для приема сообщения. Если не задано, по умолчанию будет использовано значение chunkSize. |
| chunkSize | string | нет | 32768 | Любое число | Задает максимальный размер "порций" данных для хранения входящих сообщений |
| streamKey | string | да | - | Любая строка | Ключ потока, в который необходимо отправлять собранные данные |
| customFields | object | нет | - | Словарь значений | Дополнительные поля, которые будут добавлены к получаемым данным. Указанные поля будут добавлены на одном уровне с полученными. Смотрите доступные системные переменные агента. |
syslog-rfc3164-local
Предназначен для обработки локальных syslog-сообщений в формате RFC 3164, где хост не указывается явно (отсутствует поле hostname).
Пример входящего сообщения:
<13>Jan 1 12:00:00 appname[1234]: This is a test message
Результат парсинга:
{
"pri": "13",
"time": "Jan 1 12:00:00",
"ident": "appname",
"pid": "1234",
"message": "This is a test message"
}