是否可以使用rsyslogd仅保存syslog中的某些字段？

Question

我使用rsyslogd通过UDP接收日志。

在保存的每一行日志中都有许多字段(用竖线|分隔)，我想知道是否有任何方法可以将rsyslog配置为只保存收到的~20个字段中的2-3个字段。

谢谢!

Answer 1

您可以使用property replacer来实现这一点，在本例中，最简单的可能是字段拆分。例如，%msg:F,45:1%在拆分字符代码decimal 45 (即- )后选择msg特性的字段1(第一个)。

|符号是十进制124的ASCII码0x7c。字段从1开始编号。如果需要多个字段，则需要为每个字段重复替换。您还需要放回|分隔符。

在模板中使用它。例如，如果您正在使用RSYSLOG_TraditionalFileFormat并想要字段3和7，则创建您自己的字段：

template(name="mytemplate" type="string"
   string="%TIMESTAMP% %HOSTNAME% %syslogtag% %msg:F,124:3%|%msg:F,124:7%\n")