Reescrevendo logs recebidos via syslog de outra máquina

A pergunta é um pouco vaga, mas vou tentar propor uma possível solução. Para reescrever mensagens rsyslog, há vários módulos, um dos quais é mmfields. Ele divide uma mensagem recebida em um determinado caractere (apenas um caractere) em campos e permite o acesso a esses campos. Para uma mensagem como

a=1 b=two c=3 d=four

o separador seria um espaço em branco e os campos seriam acessíveis como $!f2, $!f3, $!f4e $!f5. Infelizmente, o primeiro campo ( $!f1) está sempre vazio porque a mensagem é precedida por um espaço e esse seria o primeiro campo. Assim, para a mensagem acima obtemos $!f1=="", $!f2=="a=1", $!f3=="b=two", $!f4=="c=3", e $!f5=="d=four".

rsyslogvem com outros módulos de modificação de mensagens também, mas na falta de mais detalhes, escolhi este. Armazene o seguinte arquivo como /etc/rsyslog.d/10-so.conf. Altere o nome de acordo com a ordem de execução desejada, mas mantenha a .confextensão.

# Load the "Message Modification" module "mmfields" to split
# incoming messages into fields at a certain separator:
module(load="mmfields")

# Format used for messages that are forwarded to another host.
# The fields are re-ordered and field #3 is omitted.
template(name="rewrite_forward" type="list") {
    constant(value="<")
    property(name="pri")
    constant(value=">")
    property(name="timestamp" dateFormat="rfc3339")
    constant(value=" ")
    property(name="hostname")
    constant(value=" ")
    property(name="syslogtag")
    constant(value=" ")
    property(name="$!f4")
    constant(value=" ")
    property(name="$!f2")
    constant(value=" ")
    property(name="$!f5")
}

# Format used for messages that are written to a local logfile.
# The format is almost the same as above, but lacks the priority,
# uses a different timestamp format, and ends with a "\n" as this
# is suitable for messages printed to a logfile.
template(name="rewrite_file" type="list") {
    property(name="timestamp")
    constant(value=" ")
    property(name="hostname")
    constant(value=" ")
    property(name="syslogtag")
    constant(value=" ")
    property(name="$!f4")
    constant(value=" ")
    property(name="$!f2")
    constant(value=" ")
    property(name="$!f5")
    constant(value="\n")
}

if ( $programname == "so" ) then {

    # split message into fields at (exactly) one space character.
    # The "fields" can then be referred to as "$!f1", "$!f2", ..., "$!fN".
    # Note that "$!f1" will always be an empty string because the message
    # usually starts with a blank and that is considered to be the first
    # field. 
    action( type="mmfields" 
            separator=" " 
    )

    # If the second field is the string "b=2", then go ahead and log and
    # forward the message. Change the condition to your liking.
    if ($!f3 == "b=2") then {

        # write rewritten logmessage to local file
        action( type     = "omfile"
                file     = "/var/log/so-rewrite-fields.log"
                template = "rewrite_file"
        )

        # just for reference: write the unmodified message to the
        # very same logfile. Drop this for actual processing. It 
        # serves just as a debugging aid.
        action( type = "omfile"
                file = "/var/log/so-rewrite-fields.log"
        )

        # forward rewritten message to another host
        action( type = "omfwd"  
                target   = "127.0.0.1"  # change to actual destination
                port     = "514"        # change to actual destination
                protocol = "udp"        # change to actual destination
                template = "rewrite_forward"
        )

    }

    # no further processing:
    stop
}

Reinicie rsyslog(via sudo systemctl restart rsyslog.service) e experimente:

# A message that won't be logged because `$!f3 != "b=2"`:
logger -t so --id=$$ "a=1 b=3 txt=Hello number=$RANDOM"

# A message that will be logged because `$!f3 == "b=2"`:
logger -t so --id=$$ "a=1 b=2 txt=Hello number=$RANDOM"

A saída da segunda loggerinstrução será:

Mar 14 21:40:34 stratum9 so[3533]: txt=Hello a=1 number=6484        # rewritten msg
Mar 14 21:40:34 stratum9 so[3533]: a=1 b=2 txt=Hello number=6484    # original msg

Para alterar o nome do host, basta substituir

constant(value=" ")
property(name="hostname")
constant(value=" ")

nos modelos com

constant(value=" fromElsewhere ")

Para alterar o syslogtag (o que você chamou de service ), substitua

    constant(value=" ")
    property(name="syslogtag")
    constant(value=" ")

com

constant(value=" otherService: ")

A saída será então:

Mar 14 22:05:51 fromElsewhere otherService: txt=Hello a=1 number=11763   # rewritten
Mar 14 22:05:51 stratum9 so[3533]: a=1 b=2 txt=Hello number=11763       # original

Veja aqui outras propriedades da mensagem.

Observe que minha abordagem (com mmfields) depende de os campos sempre terem a mesma ordem e não permite facilmente reescrever mensagens como a=1 b=2( b=1 a=2reordenar e alterar pares de valor-chave). Para isso, outro módulo pode ser mais adequado.

Tanto quanto eu sei, isso pode ser alcançado usando logstash elasticsearch e Kibana. Estou tentando fazer o mesmo e tive mais ou menos sucesso ao configurar uma pilha de alces. Em seguida, use filtros grok no logstash para dividir a mensagem syslog em diferentes campos e use-os para corresponder a um padrão e enviar alertas. Dê uma olhada neste guia , ele pode lhe dar algumas respostas sobre por onde começar.

Esse tipo de configuração já possui filtros integrados para coisas como logs mysql ou logs apache ou nginx para começar. Aqui está uma boa visão geral dos recursos e arquitetura da pilha elk. Eu espero que isso ajude.