简介:
模板是rsyslog的一个关键特性,允许用户指定任何格式,也可用于文件名动态生成,每个使用template的rsyslog的输出都
适用于文件,用户信息等,template是一个类似sql语句,是非常灵活的。
Templates被Templates()指定。
The template() statement
template(parameters) { list-descriptions }
每个模板的参数名称,它指定模板名称、模板和参数类型,指定类型。参数名称必须是惟一的。
模板有以下类型:
list
subtree
string
plugin
list:
生成的模板是常量和变量声明的列表,支持结构化(mongodb)输出和文本化输出。
示例:
template(name="tpl1" type="list") {
constant(value="Syslog MSG is: '")
property(name="msg")
constant(value="', ")
property(name="timereported" dateFormat="rfc3339" caseConversion="lower")
constant(value="
")
}
constant:描述常量,它主要用于基于文本的输出,如果想结构化输出需要加上outname参数。
value - the constant value to use
outname - output field name (for structured outputs)
property:描述属性值,里面包含很多选项,大多数选项用于提取部分文本或修改文本输出内容
支持的选项:
name:访问属性的名称
outname:输出字段名(用于结构化输出)
dateformat:使用的时间格式
caseconversion:转换文本,可以使用lower和upper
controlcharacters:指定如何处理控制字符,可以有3个值escape,space,drop。
securepath:用于创建路径名适用于dynafile模板
format:指定格式字段的基础上。支持的值是:csv,json,jsonr,jsonf,jsonfr。
position.from:获得子串的位置
position.to:获取到子串的截止位置
position.relativeToEnd:从字符串结束的位置开始,而不是起始位置
field.number:获得该字段匹配
field.delimiter:小数(小数)值的字段分隔符字符提取
regex.expression:使用正则表达式
regex.type:使用正则表达式的类型
regex.nomatchmode:如果没有匹配上做什么处理
regex.match:使用匹配
regex.submatch:使用sunmatch匹配
droplastlf:去掉LF(换行),如果存在的话
mandatory:表明(表示)字段是强制性的。如果设置为"on",这个领域总是会出现在数据传递到结构化输出,即使它是空的。如果"关闭"(默认)空字段将不会传递到结构化输出。
这是特别有用的输出,支持动态模式(模式)(如ommongodb)。
subtree:
在7.1.4版本之后有效,模板生成基于一个完整的子树,这种类型的模板适用于怎样处理分层的结构,如ommongodb
name="tpl1" type="subtree" subtree="$!" #包含所有完整的数据
name="tpl2" type="subtree" subtree="$!usr!tpl2 #只包含从$!usr!tpl2开始的字符串
示例:
set $!usr!tpl2!msg = $msg;
set $!usr!tpl2!dataflow = field($msg, 58, 2);
template(name="tpl2" type="subtree" subtree="$!usr!tpl2")
string:
有些类似于legacy 模板的格式,有一个固定的参数string。
示例:
template(name="tpl3" type="string"
string="%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%
"
)
字符串模板的%里面的变量是由property_replacer解释,链接:http://www.rsyslog.com/doc/v7-stable/configuration/properties.html
百分号外的文本全部为常量字符串组成。
plugin:
该类型的模板是有插件生成,通常性能比较好,这种类型的参数必须指定插件和必须包含插件的名称标识本身,在使用之前必须先加载插件。
示例:
template(name="tpl4" type="plugin" plugin="mystrgen")
options:
这部分是可选的,可以影响整个模板和部分模板参数。
option.sql:格式字符串适合在MySQL中SQL语句的格式,将替换字符串中的单引号和转义符号。注意:NO_BACKSLASH_ESCAPES模式必须在关闭状态。
option.stdsql:标准的字符串sql格式输出,用两个单引号替换单引号,如果使用这种格式输出到mysql里面,必须开启NO_BACKSLASH_ESCAPES
option.json:适合一个json语句格式的字符串。这将替换单引号("")由两个单引号("")在每个字段。
示例:
template (name="TraditionalFormat" type="string"
string="%timegenerated% %HOSTNAME% %syslogtag%%msg%\n"
Examples
示例1:
Standard Template for Writing to Files(写入文件的标准模板格式)
template(name="FileFormat" type="list") { #定义模板名称和类型
property(name="timestamp" dateFormat="rfc3339") #定义访问属性值
constant(value=" ") #定义常量文本内容
property(name="hostname")
constant(value=" ")
property(name="syslogtag")
property(name="msg" spifno1stsp="on" )
property(name="msg" droplastlf="on" )
constant(value="
")
}
#以上标准模板的string格式如下:
template(name="FileFormat" type="string"
string= "%TIMESTAMP% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%
"
)
示例2:
Standard Template for Forwarding to a Remote Host (RFC3164 mode) template(name="ForwardFormat" type="list") { constant(value="<") property(name="pri") constant(value=">") property(name="timestamp" dateFormat="rfc3339") constant(value=" ") property(name="hostname") constant(value=" ") property(name="syslogtag" position.from="1" position.to="32") property(name="msg" spifno1stsp="on" ) property(name="msg") }
示例3:
Standard Template for write to the MySQL database #相当于编织出一条符合sql语句的字符串
template(name="StdSQLformat" type="list" option.sql="on") {
constant(value="insert into SystemEvents (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag)")
constant(value=" values ('")
property(name="msg")
constant(value="', ")
property(name="syslogfacility")
constant(value=", '")
property(name="hostname")
constant(value="', ")
property(name="syslogpriority")
constant(value=", '")
property(name="timereported" dateFormat="mysql")
constant(value="', '")
property(name="timegenerated" dateFormat="mysql")
constant(value="', ")
property(name="iut")
constant(value=", '")
property(name="syslogtag")
constant(value="')")
等价的字符串模板格式如下:
template(name="stdSQLformat" type="string" option.sql="on"
string="insert into SystemEvents (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%HOSTNAME%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')"
)
Creating Dynamic File Names for omfile 创建动态文件名
将不同主机发来的信息输出到不同的文件
示例:
template (name="DynFile" type="string" string="/var/log/system-%HOSTNAME%.log")
Legacy示例:
$template DynFile,"/var/log/system-%HOSTNAME%.log"
legacy format:
以$配置开头,可以在V7版本中使用。
$template name,param[,options] #name指的是模板的名称,param指定模板的内容,options设置模板的选项。
示例:
$template strtpl,"PRI: %pri%, MSG: %msg%
"
legacy不支持list模板类型,复杂的工作应该用复杂的property replacer来实现。
plugin
$template plugintpl,=myplugin
Reserved Template Names
以RSYSLOG_开头的是预留模板的标识。
RSYSLOG_TraditionalFileFormat:"旧式"默认日志文件格式和时间戳精度低
RSYSLOG_FileFormat:现代类型日志文件的格式,高精度时间戳和时区信息。
RSYSLOG_TraditionalForwardFormat:传统的转发与时间戳精度格式。
RSYSLOG_SysklogdFileFormat:sysklogd日志文件格式兼容
RSYSLOG_ForwardFormat:一种新的高精度转发格式非常相似的传统。
RSYSLOG_SyslogProtocol23Format:略
RSYSLOG_DebugFormat:一个特殊的格式用于故障诊断的产权问题。