主页 / ubuntu / 问题 / 1082103
Accepted
tenjohn
Asked: 2018-10-09 14:22:46 +0800 CST

带有秒的 rsyslog 模板日期/时间格式

  • 772

我当前的 rsyslog 模板配置如下所示:

/etc/rsyslog.d/00-samba-audit.conf

template(name="sambalog" type="string"
 string="%$year%-%$month%-%$day% %$hour%:%$minute% %HOSTNAME% %app-name% %msg%\n")

if $programname == 'smbd_audit' then /var/log/samba/log.audit;sambalog

可悲的是,无缘无故没有秒数的变量。

问题:如何将日期/时间格式设置为下一个?

2018-08-09 20:12:58

server log logging rsyslog

3 个回答

  1. Best Answer

    变量$year, $day, ...$minute指的是当前时间。您宁愿想要生成报告事件时的时间戳(请参阅此处了解差异)。属性timegeneratedtimereported(== timestamp) 允许进一步处理(即您可以从这些属性中选择某些字段)。您不能从当前时间中选择秒数,而只能从上面提到的两个时间戳中选择。所以:

    template(name="sambalog" type="string"
    string="%timereported:::date-year%-%timereported:::date-month%-%timereported:::date-day% %timereported:::date-hour%:%timereported:::date-minute%:%timereported:::date-second% %HOSTNAME% %app-name% %msg%\n")

    哇,这是一条很长的行,除了将模板定义为字符串之外,您还可以将其定义为列表。行为是相同的,只是定义不同,并且允许在中间使用 linebrakes 和注释。也许这会提高可读性:

    template(name="sambalog_list" type="list") {
    property(name="timereported" dateFormat="year")
    constant(value="-")
    property(name="timereported" dateFormat="month")
    constant(value="-")
    property(name="timereported" dateFormat="day")
    constant(value=" ")
    property(name="timereported" dateFormat="hour")
    constant(value=":")
    property(name="timereported" dateFormat="minute")
    constant(value=":")
    property(name="timereported" dateFormat="second")
    constant(value=" ")
    property(name="hostname")
    constant(value=" ")
    property(name="app-name")
    property(name="msg" spifno1stsp="on" ) # add space if $msg doesn't start with one
    property(name="msg" droplastlf="on" )  # remove trailing \n from $msg if there is one   
    constant(value="\n")
}

if $programname == 'smbd_audit' then /var/log/so-test.log;sambalog_list

    当我将上述内容放入/etc/rsyslog.d/so.conf然后systemctl restart syslog.service最终发出时

    logger -t smbd_audit "Hello, $RANDOM"

    然后文件/var/log/so-test.log包含:

    2018-10-12 22:14:12 myhost smbd_audit Hello, 15793
    • 4

  2. 根据rsyslog 文档

    百分号 ('%') 之间的文本由 rsyslog 属性替换器解释。

    属性替换文档说:

    日期秒

    只是时间戳的第二部分(2 位)

    因此,您应该能够将秒数放入%second%%date-second%放入模板中。

    • 1

  3. 我做了这个

    %timegenerated:::date-pgsql%

    结果看起来像2019-09-05 12:22:46

    • 0

相关问题