Отправка syslog в базу

0

1

Включена отсылка сообщений системного журнала в базу Syslog

$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,passw

Ниже выборка одного из сообщений, проблема в том что в таблице есть поля

SysLogTag
processid

Я полагаю, что в поле SysLogTag не должно содержаться processid, а оно содержится

sshd[3489]:

По моему мнению запись должна выглядеть так:

SysLogTag = sshd
processid = 3489

mysql> SELECT * 
    -> FROM  `SystemEvents` 
    -> WHERE  `ID` =5
    -> LIMIT 0 , 30;
+----+------------+---------------------+---------------------+----------+----------+----------+-----------------------------------------------------------+------------+------------+-------------+-----------+---------------+---------+-----------------+--------------+-----------+----------+----------+------------+-------------+--------------+-----------------+----------+-----------+----------+
| ID | CustomerID | ReceivedAt          | DeviceReportedTime  | Facility | Priority | FromHost | Message                                                   | NTSeverity | Importance | EventSource | EventUser | EventCategory | EventID | EventBinaryData | MaxAvailable | CurrUsage | MinUsage | MaxUsage | InfoUnitID | SysLogTag   | EventLogType | GenericFileName | SystemID | processid | checksum |
+----+------------+---------------------+---------------------+----------+----------+----------+-----------------------------------------------------------+------------+------------+-------------+-----------+---------------+---------+-----------------+--------------+-----------+----------+----------+------------+-------------+--------------+-----------------+----------+-----------+----------+
|  5 |       NULL | 2015-03-07 13:33:10 | 2015-03-07 13:33:10 |       10 |        6 | log      |  pam_unix(sshd:session): session closed for user petya |       NULL |       NULL | NULL        | NULL      |          NULL |    NULL | NULL            |         NULL |      NULL |     NULL |     NULL |          1 | sshd[3489]: | NULL         | NULL            |     NULL |           |        0 |
+----+------------+---------------------+---------------------+----------+----------+----------+-----------------------------------------------------------+------------+------------+-------------+-----------+---------------+---------+-----------------+--------------+-----------+----------+----------+------------+-------------+--------------+-----------------+----------+-----------+----------+
1 row in set (0.00 sec)

Что подкрутить?

Ссылка

←	Эффективность KSM: кто-нибудь замерял?

apt - установка правильных версий для строго заданных зависимостей (libxx=1.2.3)

→

Кастомный формат запили. Я этого наелся, когда разгребал логи с разного железа. Каждая железяка шлет по-своему, а надо привести к одному виду.

andrew667 ★★★★★
(11.03.15 22:20:45 MSK)

http://www.rsyslog.com/doc/ommysql.html

фукнции над строками тут: http://www.rsyslog.com/doc/property_replacer.html

Хотя проще понять и простить. И выбирать из базы селектами вида where SysLogTag like 'sshd%'

router ★★★★★
(11.03.15 22:22:26 MSK)
Последнее исправление: router 11.03.15 22:22:50 MSK (всего исправлений: 1)

Ответ на: комментарий от andrew667 11.03.15 22:20:45 MSK

Я этого наелся, когда разгребал логи с разного железа. Каждая железяка шлет по-своему, а надо привести к одному виду.

Если бы железо разное, так это «sshd» и прочие «cron» аналогично.

petav ★★★★★
(11.03.15 22:46:30 MSK) автор топика

Ссылка

Ответ на: комментарий от router 11.03.15 22:22:26 MSK

Почитаю про шаблоны. Спасибо

petav ★★★★★
(11.03.15 22:46:44 MSK) автор топика

Ссылка

Оказывается MonitorWare схеме так и должно быть

$template tpl,«insert into SystemEvents (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%HOSTNAME%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')»,SQL

petav ★★★★★
(11.03.15 23:01:51 MSK) автор топика

Ссылка

Сначала логи героически в базу вкорячиваем, а потом также героически вытаскиваем, когда она начнет затыкаться.

bj ★
(12.03.15 10:37:02 MSK)

Ответ на: комментарий от bj 12.03.15 10:37:02 MSK

когда она начнет затыкаться.

Про партиционирование что-нибудь слышал, пионер?

router ★★★★★
(12.03.15 11:02:36 MSK)

Ответ на: комментарий от router 12.03.15 11:02:36 MSK

А ты, пионер, видимо не слышал про хадупчик и тяжелую аналитику. А для простых выборок достаточно грепа и авка. База для логов не нужна практически никогда.

bj ★
(12.03.15 18:59:58 MSK)

Ответ на: комментарий от bj 12.03.15 18:59:58 MSK

Я считаю, Вы ошибаетесь отстаивая свою первоначальную точку зрения. База нужна, когда логов много и выборки сложные, а так да, 2Mb syslog`а одного устройства можно и грепать.

petav ★★★★★
(12.03.15 19:29:10 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Эффективность KSM: кто-нибудь замерял?

Admin

apt - установка правильных версий для строго заданных зависимостей (libxx=1.2.3)

→

Похожие темы