JSON и rsyslog

0

1

Здравствуйте, люди добрые!

Очередные вопросы про rsyslog (если что, rsyslog 8.4.2-1).

Теперь бы надо сделать вывод в лог в json. Добавил в rsyslog.conf шаблон:

template(name="outfmt" type="list" option.jsonf="on") {
         property(outname="@timestamp"
                  name="timereported" 
                  dateFormat="rfc3339" format="jsonf")
         property(outname="host"
                  name="hostname" format="jsonf")
         property(outname="severity"
                  name="syslogseverity-text" caseConversion="upper" format="jsonf")
         property(outname="facility"
                  name="syslogfacility-text" format="jsonf")
         property(outname="syslog-tag"
                  name="syslogtag" format="jsonf")
         property(outname="source"
                  name="app-name" format="jsonf")
         property(outname="message"
                  name="msg" format="jsonf")

     }

и перезапустил службу. Однако, не вижу в логе JSON’а. Отсюда вопросы:

1 Есть конкретное место для шаблона или все равно?
2 app-name в шаблоне должно совпадать с openlog(app_name, ...), т.е. именем программы?

Ссылка

←	Полный бэкап с раздела Дебиана требуется

ownCloud добавить паки и/или диски

→

В action() это шаблон прописан?

mky ★★★★★
(08.12.22 16:36:25 MSK)

Ответ на: комментарий от mky 08.12.22 16:36:25 MSK

Не прописан.

Можно более подробную инструкцию, как это сделать?

braboar ★★
(08.12.22 16:51:36 MSK) автор топика

Ответ на: комментарий от braboar 08.12.22 16:51:36 MSK

UPD: прописал action, стало немного лучше. Но теперь rsyslogd ругается **INVALID PROPERTY NAME** "@timestamp"

braboar ★★
(08.12.22 17:56:27 MSK) автор топика
Последнее исправление: braboar 08.12.22 17:57:04 MSK (всего исправлений: 1)

Ответ на: комментарий от braboar 08.12.22 17:56:27 MSK

Ну попробуйте каждую property в одну строку и попробуйте заменить ″@timestamp″ на что-нибудь другое, допустим ″timelog″.

mky ★★★★★
(08.12.22 19:05:17 MSK)

Ответ на: комментарий от mky 08.12.22 19:05:17 MSK

В какой-то степени разобрался с rsyslog.conf, ошибок нет, почти желаемый вывод, но есть нюанс.

Часть rsyslog.conf:

template(name="outfmt" type="list" option.jsonf="on") {
    property(name="timestamp" dateFormat="rfc3339" format="jsonf")
    property(name="msg" format="jsonf")
}

action(type="omfile" file="/home/user/log/progname.log" template="outfmt")

if $programname startswith "progname" then /home/user/log/progname.log
& stop

Лог:

"timestamp":"2022-12-09T11:50:15.972719+03:00""msg":" msg 31"Dec  9 11:50:15 deb8-0 progname: msg 31
"timestamp":"2022-12-09T11:50:28.756649+03:00""msg":" msg 32"Dec  9 11:50:28 deb8-0 progname: msg 32
"timestamp":"2022-12-09T11:53:38.280516+03:00""msg":" Accepted password for user from <...>"

В лог попадает не только вывод от progname, но и левый вывод (например, попал лог коннекта по ssh). Как это исправить?

Заранее благодарен.

braboar ★★
(09.12.22 12:16:37 MSK) автор топика
Последнее исправление: braboar 09.12.22 12:17:25 MSK (всего исправлений: 1)

Ответ на: комментарий от braboar 09.12.22 12:16:37 MSK

Ну попробуйте то, что привели заменить на это:

template(name="outfmt" type="list" option.jsonf="on") {
    property(name="timestamp" dateFormat="rfc3339" format="jsonf")
    property(name="msg" format="jsonf")
}

if $programname startswith "progname" then { 
  action(type="omfile" file="/home/user/log/progname.log" template="outfmt")
  stop
}

mky ★★★★★
(10.12.22 03:30:06 MSK)

Ответ на: комментарий от mky 10.12.22 03:30:06 MSK

Спасибо, добрый человек! Обязательно попробую.

braboar ★★
(10.12.22 08:50:33 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 10.12.22 03:30:06 MSK

Дошли руки, попробовал такую конфигурацию. Работает, но в файле лога одна очень длинная строка, т.е. не новая строка добавляется в файл, а дописывается к предыдущей. Такое можно побороть?

braboar ★★
(13.12.22 15:03:50 MSK) автор топика