Het werken met multiline
events is vaak uitdagend. We hebben een aantal stijlen voor oplossingen van multiline syslog recombinatie. Sommige multiline
logs hebben geen gemeenschappelijk veld or tag, maar hun structuur/formaat is dusdanig dat we, binnen een gegeven strom van events, kunnen bepalen waar een
event begint en een andere eindigt,
door hetzij gebruikt te maken van een reguliere expressie voor een ‘Event
Start Patroon’, em een reguliere expressie voor een ‘Event Beeindigings Patroon’ of beide.
Hoe lossen we dit op?
–Het TCPMultilineSyslog protocol
TCPMultilineSyslog (en binnenkort, het TLSSyslog protocol) stellen de gebruiker in staat om een of twee reguliere expressies te definieren voor het definieren van
hoe multiline events
geextraheerd moeten worden uit een stoom van multiline event data.
Event
Start Patroon =
(?:<(\d+)>\s?(\w{3} \d{2} \d{2}:\d{2}:\d{2}) (\S+) )?(\d{2}/\d{2}/\d{4}
\d{2}:\d{2}:\d{2} [AP]M)
Geen opmerkingen:
Een reactie posten