syslog

Модуль syslog входит в состав YAML-модулей processors и позволяет нормализовать события syslog в различных форматах. Подобный функционал неявно используется в syslog-коллекторе, поэтому применение данного модуля, помимо разбора событий syslog, также полезно при проверке модулей, предназначенных для syslog-коллектора.

Модуль поддерживает эвристический анализ.

Конфигурация

В состав конфигурации модуля syslog входят поля:

• from — поле, к которому применяется модуль. По умолчанию — Raw
• parser — тип модуля разбора (формат события). Возможные значения: rfc3164, rfc5424, cef, auto (в общем, аналогично конфигурации самого syslog-коллектора). По умолчанию — auto
• timezone — часовой пояс события. Не во всех форматах есть информация о часовом поясе, поэтому данное поле позволяет определить часовой пояс по умолчанию. Если не указано, то по умолчанию используется часовой пояс хоста.