Модуль syslog

Модуль syslog входит в состав YAML модулей processors и позволяет нормализовывать события syslog в различных форматах. Подобный функционал неявно используется в syslog-коллекторе, поэтому применение данного модуля помимо разбора событий syslog также полезно при проверке модулей, предназначенных для syslog-коллектора.

Модуль поддерживает эвристический анализ.

Конфигурация

В состав конфигурации модуля syslog входят поля:

• from - поле, к которму применяется модуль. По умолчанию - Raw.
• parser - тип модуля разбора (формат события). Возможные значения: rfc3164, rfc5424, cef, auto (в общем, аналогично конфигурации самого syslog-коллектора). По умолчанию - auto.
• timezone - часовой пояс события. Не во всех форматах есть информация о часовом поясе, поэтому данное поле позволяет определить часовой пояс по умолчанию. Если не указано, то по умолчанию используется часовой пояс хоста.