RSylog GELF (Graylog) Format verwenden

Raptor 2101

Graylog bietet einen einfach zu konfigurierenden Syslog-Input an. Leider kommt es jeh nach verwendeten „Loglayout“ dann zu parsing Fehlern. Bei mir hat es z. B. hauptsächlich die Genauigkeit des Zeitstempels betroffen.

Am leichtesten löst man das Problem indem man RSyslog dazu bringt, im GELF Format zu loggen. Dies ist ein einfaches JSON Format und ohne Probleme vie RSyslog-Template umzusetzten:

template(name="gelf" type="list") {
    constant(value="{\"version\":\"1.1\",")
    constant(value="\"host\":\"")
    property(name="hostname")
    constant(value="\",\"facility\":\"")
    property(name="syslogfacility-text")
    constant(value="\",\"facility-num\":\"")
    property(name="syslogfacility")
    constant(value="\",\"syslogtag\":\"")
    property(name="syslogtag")
    constant(value="\",\"priority\":\"")
    property(name="syslogpriority-text")
    constant(value="\",\"message\":\"")
    property(name="msg" format="json")
    constant(value="\",\"timestamp\":")
    property(name="timegenerated" dateformat="unixtimestamp")    
    constant(value=".")
    property(name="timegenerated" dateformat="subseconds")    
    constant(value=",\"level\":\"")
    property(name="syslogseverity")
    constant(value="\",\"severity\":\"")
    property(name="syslogseverity-text")
    constant(value="\"}")
}

action(type="omfwd" target="deepdraft.aqua" port="12201" protocol="udp" template="gelf")

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.