Início / unix / Perguntas / 471642
Accepted
lalebarde
Asked: 2018-09-27 09:06:15 +0800 CST

Posso usar a string capturada por regexp nos caminhos do rsyslog?

  • 772

Digamos que eu queira filtrar logs para usar arquivos diferentes por ID de usuário, posso escrever uma regra por uid como aqui:

if $msg contains 'uid=500' then /var/log/uid/500
if $msg contains 'uid=501' then /var/log/uid/501
if $msg contains 'uid=502' then /var/log/uid/502

Eu gostaria de escrever uma única linha usando uma captura regexp como esta:

if $msg contains 'uid=\([0-9]+\)' then /var/log/uid/\1

É possível e como por favor?

regular-expression rsyslog

1 respostas

  1. Best Answer

    Você pode fazer isso usando um substituto de propriedade . Coloque em sua rsyslog.conflinha ou similar definindo um modelo que seja o formato desejado do nome do arquivo e use-o na ação quando você corresponder à linha de entrada. Por exemplo,

    $template myfile,"/var/log/uid/%msg:R,ERE,1,FIELD:.*?uid=([0-9]+).*--end%"
if (re_match($msg, "uid=[0-9]+")) then {
 action(type="omfile" dynaFile="myfile")
 stop
}

    O modelo diz que a variável do modelo myfileé a string que inclui a msgpropriedade substituída por uma correspondência de regex (R), estendida (ERE), captura de grupo 1 (1) (e se não houver correspondência, mantenha o FIELD original). O regex real é a .*?uid=([0-9]+).*parte. O --endé uma parte obrigatória da %...:R,...--end%sequência.

    As linhas a seguir são o teste Rainer Script usual para as linhas que você deseja combinar e onde colocar o resultado.

    • 5

relate perguntas