使用syslog-ng，如何在模板中嵌入正则表达式

Question

我正在将rsyslog模板转换为syslog-ng，但在syslog-ng文档中找不到如何在模板中嵌入regex。传入消息正文如下所示：

123 1.2.3.4 4.3.2.1:80 someone@somewhere.com US

原始rsyslog模板为：

主机名，“{\”版本\“：\”1.1\“，\”主机\“：\”%HOSTNAME: json%\"，\“short_message\”：\“邮件身份验证日志\”，\"_LogDateTime\":\"%timereported:::date-rfc3339，json%\“，\"_Cluster\":\"c25\"，\"_ResponseCode\":\"%msg:R，$template，1，空白：^ *？(0-9{3}) --end:json%\"，\"_SourceIP\":\"%msg:R，ERE,2，空白：^ (0-9{3}) (0-9{1,3}.0-9{1,3}.0-9{1,3}.0-9{1,3})--end:json%\"，\"_DestinationIP\":\"%msg:R，ERE,1，空白：(0-9{1,3}.0-9{1,3}.0-9{1,3}.0-9{1,3}):0-9{2,4}--end:json%\"，\"_DestinationPort\":\"%msg:R，ERE,1，空白: 0-9{1,3}.0-9{1,3}.0-9{1,3}.0-9{1,3}:(0-9{2,4})--end:json%\"，\"_UserAccount\":\"%msg:R，ERE，1，空白：：0-9{2，4} (^ {1，})--结束:json%\“，\"_Country\":\"%msg:R，ERE,2，空白：：0-9{2，4} (^ {1，})( A-Z？{2})？--结束:json%\”}\n“

模板中的regex位解析出原始消息中的相关字段。我不能只是将消息转储到灰度日志中，因为我们使用自定义字段。我相信我想在syslog-ng中使用一个模板，但是我找不到展示如何在模板中嵌入正则表达式的示例，甚至是文档。

Answer 1

查看邮件正文，您有以下选项：

• 使用csv解析器解析消息，使用空格作为分隔符。注意，csv解析器不会拆分IP:port，但是您可以对地址运行另一个csv解析器(这次使用:作为分隔符)。您可以在syslog-ng documentation
• Alternatively，中找到相关示例，您可以编写一个custom syslog-ng parser in Python来处理此消息，并使用标准的python字符串函数将消息分成单词并拆分IP:port对。

使用csv解析器可能更容易，并且具有更好的性能。此外，syslog-ng版本3.13还包括一个灰色日志目的地(文档中还没有包含该目的地，但您可以在这篇博客文章Graylog as destination in syslog-ng中找到一个示例)