Плагин syslog

Плагин syslog входит в состав YAML плагинов processors и позволяет нормализовывать события syslog в различных форматах. Подобный функционал неявно используется в syslog-коллекторе, поэтому применение данного плагина помимо парсинга событий syslog также полезно при проверке плагинов, предназначенных для syslog-коллектора.

Плагин поддерживает эвристический анализ.

Конфигурация

В состав конфигурации плагина syslog входят поля:

• from - поле, к которму применяется плагин. По умолчанию - Raw.
• parser - тип парсера (формат события). Возможные значения: rfc3164, rfc5424, cef, auto (в общем, аналогично конфигурации самого syslog-коллектора). По умолчанию - auto.
• timezone - часовой пояс события. Не во всех форматах есть информация о часовом поясе, поэтому данное поле позволяет определить часовой пояс по умолчанию. Если не указано, то по умолчанию используется часовой пояс хоста.