syslog消息格式& syslog-ng

Question

案例1:

对于syslog下面的传入消息，

<14>Mar 22 11:12:06 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 1.2.3.4/62963->23.58.169.35/443 0x0 junos-https 6.7.8.9/32359->23.58.169.35/443 0x0 source rule 1 N/A N/A 6 1 Trust Untrust 60471 N/A(N/A) ge-0/0/1.0 UNKNOWN UNKNOWN UNKNOWN

syslog-ng成功地在时间戳(Mar 22 11:12:06)和消息类型(RT_FLOW)之间添加了主机名。

案例2:

但是，对于syslog下面收到的消息，

<14> Mar 22 11:04:17 206.133.74.126 03362 auth:  User 'sup_ogr' logged in from 206.133.74.127 to SSH session

特别是，IP地址已经存在于时间戳(Mar 22 11:04:17)和消息类型(auth)之间。

syslog-ng无法在时间戳和消息类型之间添加主机名。

使用的配置如下：use_dns (yes);和keep_hostname (yes);

1. 在第二种情况下，syslog消息是否具有IP，是否符合RFC 5424标准？
2. 如果是，那么，在时间戳和消息类型之间设置主机名需要什么样的配置？

Answer 1

我并不确切地知道syslog-ng，但我假设它也使用了启发式的顶级解析遗留的syslog消息，就像rsyslog (我猜有不同的启发式)。

必须指出，所显示的消息格式很奇怪。RFC3164描述了通常可以在线路上看到的内容，这里的第二种格式与这里描述的格式相差很远。如果可能的话，最好的解决方案是让发送方修复格式，使其更符合标准。

Answer 2

是的，您的两条消息都很相似，但是不要完全遵循RFC3164中描述的syslog消息格式。有关详细信息，请参阅syslog-ng文档中的此页和以下页面。syslog-ng也试图解析这些不正确的消息，但可能无法完美地解析这些消息。您可以尝试以下方法：

• 检查发送主机或应用程序，看看是否可以将其调整为发送格式正确的消息。
• syslog-ng可能解析消息的每个字段，但没有解析到适当的字段。您可以尝试检查这些消息的宏的值，可能还有创建一个模板以正确格式化消息。
• 如果所有这些都失败了，您可以编写一个Python中的自定义syslog-ng解析器来解析这些日志消息。

HTH，Robert