Outils pour utilisateurs
Ceci est une ancienne révision du document !
−Table des matières
Les attributs des messages
Les attributs (properties) sont insensibles à la casse depuis les versions supérieures a la 3.17.0
Les properties peuvent être utilisées par:
- Les templates
- Les déclaration conditionnelles
Pour une liste exhaustive, confère la documentation en ligne.
| msg | La partie message du flux entrant fournit par le module input |
|---|---|
| rawmsg | Le message brut fournit par le module d'entrée, utile pour le debug. |
| hostname | Nom d’hôte de la machine émettant le message. |
| fromhost | Nom de la machine transmettant le message. |
| fromhost-ip | IP de la machine transmettant le message. |
| syslogtag | TAG du message |
| programname | partie statique du TAG syslog BSD |
| pri | partie priorité du message non décodée |
| pri-text | partie priorité du message en présentantion textuelle |
| iut | InfoUnitType utile pour les backend de type LogAnalyzer |
| syslogfacility | la catégorie du message sous forme numérique |
| syslogfacility-text | catégorie sous forme textuelle |
| syslogseverity | niveau de criticité du mesage sous forme numérique |
| syslogseverity-text | criticité sous forme textuelle |
| timegenerated | date de réception du message |
| timereported | date indiquée par le message |
| inputname | nom du module d'entrée ayant généré le message. |
Le replacer
Le property replacer est au centre du système de template de rsyslog. Les messages syslog ont un ensemble de champs (properties) bien définis. Chacun de ces champs peut être accédé et manipulé par le property replacer.
Accéder à une propriété
Les propriété sont utilisées par les templates, on accède à leur valeur en plaçant leur nom entre les caractères %, la syntaxe globale est la suivante:
%propertiy:fromChar:toChar:options%
Dans l'exemple ci-dessus les sections fromChar et toChar permettent de sélectionner une sous chaîne dans la valeur de la propriété. Pour accéder aux 4 premiers caractères du message on procédera ainsi:
%msg:1:4%
Pour sélectionner une sous chaîne commençant au 5ieme caractère jusqu’à la fin du message:
%msg:5:$%
les expressions rationnelles sont également supportées. La section fromChar doit comporter le caractère R pour spécifier que les expression rationnelles sont utilisées. L'expression rationnelle est placée dans la section toChar et doit se terminée par -end.
%msg:R:.*Sev:.\(.*\)\[.*-end%
Dans la section fromChar il est possible de spécifier des paramètres:
R,<regex-type>,<submatch>,<nomatch>,match-number>
| <regex-type> | BRE pour les expressions POSIX ou EPE pour les expressions étendues. |
|---|---|
| <submatch> | chiffre: 0 pour toute la chaîne, de 1 à 9 si plusieurs correspondances ont été trouvées. |
| <nomatch> | spécifier une valeur en cas de non correspondance. |
Références
Outils de la page
