Консолидация и мониторинг событий syslog

Осуществляя мониторинг событий Syslog, плагин Syslog активизирует получателя Syslog, который получает сообщения Syslog, собирает их и конвертирует в события AggreGate. События Syslog можно обрабатывать, хранить, отслеживать, отображать и отфильтровывать как любые другие события AggreGate. Подробное описание протокола Syslog можно найти в RFC 5424.

Syslog-мониторинг настраивается через параметры конфигурации плагина Syslog. Когда получено Syslog-сообщение, оно анализируется, генерируется соответствующее событие AggreGate. Структура и правила преобразования данных представлены в следующей таблице:

Поле события

Имя поля события

Тип

Описание

Хост источника

source

Строка

Адрес источника сообщения, т.е. адрес, откуда было получено Syslog-сообщение.

Уровень

level

Целое число

Исходный уровень, заданный в Syslog-сообщении. За списком значений уровня обратитесь к RFC 5424.

Средство

facility

Целое число

Исходное средство, заданное в Syslog-сообщении.

IP-адрес или имя хоста

host

Строка

Хост, заданный в Syslog-сообщении (обычно генератор сообщения).

Сообщение

message

Строка

Текст Syslog-сообщения, сообщающий информацию о событии.

Отметка времени

timestamp

Данные

Отметка времени, заданная в Syslog-сообщении.

Событие AggreGate генерируется с уровнем, который преобразуется в исходной Syslog-критичности при помощи таблицы преобразования, заданной в параметрах настройки плагина Syslog.