Syslog结构
InsightOps将自动解析和索引Syslog数据中的字段。键会自动高亮显示并可点击。点击一个字段将填充搜索栏,以允许快速搜索您的数据。
基本
解析
insights将解析RPF 5424 (IETF)和RFC 3164 (BSD) Syslog消息。例如,如果我们接收一个RFC 3164 Syslog消息:
1
<165>Feb 22 17:16:34 test-VirtualBox kernel[292]:意外删除文件夹=system32
我们知道Syslog访问日志的格式为:
1
< pri > <时间> <主机名> <浏览器名称> (< procid >):
您将能够立即为groupby查询和计算解析这些隐含的键。给出前面的例子:
| 隐含的关键 | 价值 |
|---|---|
| 革命制度党 | 165 |
| 时间戳 | 2月22日17:16:34 |
| 主机名 | test-VirtualBox |
| 浏览器名称 | 内核 |
| procid | 292 |
使用这些数据可以更容易地进行日志搜索。例如,您现在可以完成以下查询:
- 寻找一个主机名:
(主机名=“test-VirtualBox”) - 看看最常用的appname是什么:
groupby(浏览器名称)计算(计算)排序(desc)
Syslog解析有问题吗?
确认数据符合RFC 5424或RFC 3164,并且有syslog报头。
这个页面对你有帮助吗?