Skip to main content

ListenSyslog

描述:

通过指定TCP或UDP的端口来监听发送的Syslog消息。 对于RFC5424和RFC3164格式的消息,将根据正则表达式来检查传入消息。 每个消息的格式为: (<PRIORITY>)(VERSION )(TIMESTAMP) (HOSTNAME) (BODY) ,且版本可选。时间戳可以是 RFC5424时间戳格式: "yyyy-MM-dd'T'HH:mm:ss.SZ" 或者 "yyyy-MM-dd'T'HH:mm:ss.S+hh:mm", 或者是RFC3164 时间戳格式: "MMM d HH:mm:ss". 如果输入数据流的消息匹配如上匹配,则消息将被解析并分别作为属性输出。如果不匹配,并且不能被解析,则属性 “syslog.valid” 将被设置为false输出。有效的消息将作为success数据流输出,无效的消息将输出到invalid连线

标签:

syslog, listen, udp, tcp, logs

参数:

如下列表中,必填参数则标识为加粗. 其他未加粗参数,则表示为可选参数。表中同时提到参数默认值设置, 并且 参数还支持 表达式语言.

名字默认值允许值列表描述
协议UDP
- TCP
- UDP
指定Syslog通信协议
端口号指定Syslog通信的端口号。

支持表达式语言 (仅支持变量)
本地网络限制指定用于绑定本地LAN网络的监听限制

支持表达式语言 (仅支持变量)
SSL服务控制器服务API:
RestrictedSSLContextService
实现:
StandardRestrictedSSLContextService		用户获取SSL安全访问服务。如果设置,则将通过安全连线接收消息
客户认证必须
- 请求
- 必须
- 不需要
设置安全连接(TLS/SSL)到客户端授权策略。该参数仅当SSL服务被设置并激活才有效
接收缓存大小65507 B用于接收Syslog消息的缓冲区的大小。根据传入消息的预期大小适当调整此值。选择UDP时,每个缓冲区将持有一条Syslog消息。当选择TCP时,将从输入数据流中读取消息,直到缓冲区已满或连接关闭。
消息队列大小10000指定用于缓冲从通道读取到组件的消息队列大小。如果将该值设置得过高,则当传入消息激增过程中,内存将缓冲更多的消息,但同时会增加组件的使用内存。
Socket缓存大小1 MB指定Socket连接的缓存大小。建议根据操作系统指定Socket缓冲区应该设置多大。如果该值设置得太低,则可能会在读取数据之前填满缓冲区,并删除传入的部分数据。
TCP连接数2指定TCP模式下并发连接所支持的最大连接数。
分批数量1指定多少数量的消息将作为一个单独的数据流输出。如果有多个消息,则将多个消息通过《消息分隔符》来连接。
消息分隔符\n指定把多个消息捆绑在一起时要在消息之间放置的分隔符。 (查看 <分批数量> 参数设置)。
解析消息解析
- 解析
- 不解析
决定是否解析Syslog消息,如果不解析,则每个输出数据流仅包含发送者、协议、端口号,而没有其他属性
字符编码UTF-8指定Syslog消息的字符集编码.

支持表达式语言 (仅支持变量)

连线:

名字描述
success满足一个期望格式的Syslog消息被发送后,将输出到此连线。
invalid不匹配期望格式的Syslog消息将被输出到此连线。

读取属性:

未提供。

写入属性:

名字描述
syslog.prioritySyslog消息优先级
syslog.severity从Syslog优先级而来的消息严重级别
syslog.facility从Syslog优先级而来的消息特征
syslog.versionSyslog消息版本
syslog.timestampSyslog消息时间戳
syslog.hostnameSyslog消息的主机或IP地址
syslog.sender发送Syslog消息的客户端主机
syslog.bodySyslog消息内容
syslog.valid标识消息是否是期望的格式。如果为false,则其他属性将为空,并且内容中只有原始消息可用。
syslog.protocol接收Syslog消息的协议
syslog.port接收Syslog消息的端口号
mime.typeSyslog消息为text/plain的数据流的MIME类型

状态管理:

该组件不保存状态。

限制:

该组件没有限制

输入流要求:

组件禁止提供输入流。

系统资源考量:

未提供。

参考:

ParseSyslog, PutSyslog