Syslog

無法讓 rsyslog 僅保存沒有時間戳的 msg

  • December 10, 2020

當我有預設設置時,我的日誌是這樣的:

2020-12-01T18:34:06+02:00 10.132.90.194 {"wfd_successful_hits_sec": "0", "sql_hits_sec_max": "0", "timestamp": "2020/12/01 18:34:01", "connection_sec_max": "1922", "http_hits_sec_max": "1106", "http_hits_sec": "106", "wfd_successful_hits_sec_max": "0", "sql_hits_sec": "0", "sql_audit_phase2_events_sec_max": "0", "hdfs_hits_sec": "0", "connection_sec": "26"}

但是一旦我嘗試讓它只寫味精,它就會失敗。

並給我剪掉開頭的味精。

"0", "timestamp": "2020/12/01 18:34:01", "connection_sec_max": "1922", "http_hits_sec_max": "1106", "http_hits_sec": "106", "wfd_successful_hits_sec_max": "0", "sql_hits_sec": "0", "sql_audit_phase2_events_sec_max": "0", "hdfs_hits_sec": "0", "connection_sec": "26"}

我的 Rsyslog 配置:

$template OnlyMsg,"%msg:2:2048%\n"
$template CustomLog,"/logs/host-%fromhost%-%$year%-%$month%.log"

local5.*                                               ?CustomLog;OnlyMsg

輸入行對於 syslog 並沒有真正標準化,因此例如字元串{"wfd_successful_hits_sec":可能被誤認為是標籤,而 msg 欄位在此之後。

您可能可以簡單地使用該rawmsg屬性而不是msg,因為它包含整個輸入行(在優先級之後)。嘗試使用大約 40 個字元的起始偏移量來說明時間戳和 IP 地址。如果您有不同長度的 ip 地址,則可以使用正則表達式來匹配開始。

引用自:https://serverfault.com/questions/1045617

相關問答

Rsyslog

配置 rsyslog 以根據內容將消息路由到不同的日誌文件

  • July 18, 2022
檢視問答
Ubuntu

將 rsyslog 消息發送到遠端文件系統

  • July 17, 2022
檢視問答
Rsyslog

限制系統日誌輪換中可用存檔的數量

  • July 28, 2021
檢視問答
Systemd

使用 rsyslog 將 systemd 服務 stderr 記錄到不同的文件

  • March 12, 2021
檢視問答
Ssl

使用 TLS 上的原始源 IP 轉發 Rsyslog

  • November 3, 2020
檢視問答
Ubuntu

在 rsyslog 模板中使用 linux 環境變數

  • August 4, 2020
檢視問答