RSyslog - la Documentacin Rsyslog es un syslogd realzado soportando, entre los otros, MySQL, PostgreSQL, destinos del leo de rescate

de la conexin, syslog tcp, control de formato fino de salida del grano, precisin alta timestamps, operaciones a las que se hizo cola y la habilidad para filtrar en cualquier mensaje dividen. Es muy compatible surtir sysklogd y puede ser usado como un reemplazo de informacin parsita. Sus caractersticas adelantadas lo adecuan para la clase de empresa, el cdigo protegi cadenas de rels del syslog al al mismo tiempo ser muy fcil para el esquema para el usuario lego. Y como sabemos cul empresa necesitan los usuarios realmente, hay tambin soporte del rsyslog profesional disponible directamente de la fuente! Por favor visite la pgina del patrocinador del rsyslog para honrar los patrocinadores de proyecto o convertirse en uno usted mismo! Somos muy agradecidos para cualquier ayuda hacia las metas de proyecto. Esta documentacin es para versin 4.6.3 (la rama del establo v4) de rsyslog. Visite la pgina de estado del rsyslog para obtener informacin actual de versin y proyectar estado. Si a usted le gusta a rsyslog, entonces usted podra querer echarnos una mano. No toma un montn de tiempo - aun un chasquido solo del ratn ayuda. Aprenda a ayudar el proyecto del rsyslog. Debido a la demanda popular, hay ahora una confrontacin paralela entre rsyslog y syslog-ng. Si usted mejora de rsyslog v2 o sysklogd accionario, sea seguro para leer la compatibilidad rsyslog v3 documento, y si usted mejora de v3, entonces lea el documento de compatibilidad rsyslog v4. Rsyslog trabajar aun si usted no lee al doctor, pero el proceder definitivamente mejorar su experiencia. Siga los enlaces debajo para lo Los problemas del rsyslog de localizacin de fallas La sintaxis del archivo de configuracin (rsyslog.conf) Una herramienta regular del inspector /generador de expresin para rsyslog El reemplazador de la propiedad, un componente de fondo importante Un rsyslog.conf de muestra comentado La lista de problema no resuelto en el software del rsyslog Los paquetes del rsyslog El backgrounder en diseo genrico de aplicacin del syslog La descripcin de mdulos del rsyslog El rsyslog "libro de cocina" - un set de configuraciones en condicin de usar Llevamos puestos algunos documentos de identificacin de fondo Instalando rsyslog Obteniendo rsyslog a partir del confidente de la fuente El rsyslog e IPv6 (cul es con creces soportado) El cdigo nativo TLS para syslog Usando mltiplo que la regla coloca en rsyslog El syslog de ssl-encrypt con stunnel Escribiendo mensajes del syslog para MySQL (y otras bases de datos bien) Escribiendo mensajes del syslog para PostgreSQL (y otras bases de datos bien) Escribiendo cantidades macizas de mensajes del syslog para una base de datos El reenvo fidedigno para un servidor remoto

Usando php-syslog-ng con rsyslog Registrando el syslog prioritario (la severidad y la facilidad) para el archivo del leo Conservando remitente del syslog sobre NAT (en lnea slo) Una visin general y howto de soporte rsyslog gssapi Depure soporte en rsyslog La Documentacin Del Desarrollador Escribiendo plugins de salida del rsyslog El objeto de la cola de mensaje del rsyslog (la vista del desarrollador) Nuestra pgina de la historia del rsyslog es para usted si a usted le gustara aprender algo ms adelante por qu hay un rsyslog del todo. Si usted tiene inters por qu usted debera preocuparse por rsyslog del todo, usted puede querer leer el ensayo del Rainente de adelante "por qu el mundo necesita a otro syslogd". La documentacin se agrega continuamente. Por favor note que la documentacin aqu corresponde slo la versin actual de rsyslog. Si usted usa una versin mayor, sea seguro para usar al doctor que vino con eso. Usted tambin puede hacer una lectura ligera los siguientes recursos en lnea: El rsyslog wiki, un recurso comunal que incluye ejemplos de configuracin del rsyslog El rsyslog la documentacin en lnea (la versin ms actual slo) El foro de debate del rsyslog - use esto para soporte especializado Los manuales de instruccin del vdeo del rsyslog El leo de cambio del rsyslog El archivo de preguntas frecuentes del rsyslog El gua de configuracin del dispositivo del syslog (fuera de sitio) El foro de debate del rsyslog - use esto para soporte especializado El foro deutsches rsyslog (el foro en idioma alemn) Y no se olvida del rsyslog enviando por correo lista. Si usted est interesado en el "foro del teatro", entonces usted le puede encontrar blog del Rainente una lectura interesante (filtre en etiquetas del syslog y rsyslog). Si a usted le gustara usar cdigo de la fuente del rsyslog dentro de su proyecto manifiesto de la fuente, entonces usted puede hacer eso sin cualquier restriccin mientras su licencia es GPLv3 compatible. Si su licencia es incompatible para GPLv3, entonces usted aun puede estar todava permitido para usar cdigo de la fuente del rsyslog. Sin embargo, luego usted necesita mirar la forma que el rsyslog est autorizado. La retroalimentacin es siempre bienvenida, pero si usted tiene una pregunta del soporte, entonces por favor no enve por correo Rainente directamente (por qu no?). Escribiendo mensajes del syslog para MySQL Escrito Por Rainente Gerhards (2008-02-28) El resumen En este escrito, describo cmo escribir mensajes del syslog para una base de datos MySQL. Tener mensajes del syslog en una base de datos es a menudo conveniente, especialmente cuando usted tiene la intencin de establecer una seccin de entrada para mirarlos. Este escrito describe un acercamiento con rsyslogd, una alternativa realz natively del demonio del syslog soportando a MySQL. Describo los componentes necesitados para ser instalado y cmo configurarlos. Por favor note que a partir de esta escritura, rsyslog da soporte a una variedad de bases de datos. Mientras este gua es quieto MySQL enfocado, usted probablemente lo puede usar conjuntamente con otros tambin. Usted justamente necesita modificar algunos trasfondos. Los antecedentes

En muchos casos, los datos syslog estn simplemente escritos a archivos del texto. Este acercamiento tiene algunas ventajas, ms notablemente eso es muy rpido y eficiente. Los datos sin embargo, almacenados en archivos del texto no son fcilmente accesibles para el tiempo real mirando y el anlisis. Para hacer eso, los mensajes necesitan estar en una base de datos. Hay formas diversas para almacenar mensajes del syslog en una base de datos. Por ejemplo, una cierta cantidad hace el syslogd escribir archivos del texto que son posterior pienso por una letra separada en la base de datos. Los otros han escrito letras tomando los datos (por una tubera) de una poco base de datos syslogd consciente y las almacenan como aparezcan. Algunos otros usan syslogds conscientes en la base de datos y los hacen escribir los datos directamente para la base de datos. En este escrito, uso ese acercamiento "de escritura directo". Pienso que es superior, porque el syslogd mismo sabe el estado de la conexin de la base de datos y as lo puede manipular inteligentemente (pues bien ... esperanzadoramente;)). Uso rsyslogd para acomplish as de, simplemente porque he iniciado el proyecto del rsyslog con conciencia de base de datos como una meta. Una palabra de advertencia: Mientras el almacenamiento de mensaje en la base de datos provee una fundacin excelente para anlisis interactivo, llega a un costo. La base de datos que yo / la o soy considerablemente ms lento que archivo del texto yo / o. Per se, directamente escribiendo para las marcas de la base de datos sentido slo si su volumen de mensaje es lo suficientemente bajo permita uno) el syslogd, b) la red, y c) el servidor de la base de datos al que alcanzarlo. Tiempo atrs, he escrito un escrito en optimizar actuacin del servidor del syslog. Mientras este escrito habla de soluciones basadas en ventanas, las ideas en l son lo suficientemente genricas tiene aplicacin aqu, tambin. As es que podra valer lectura si usted anticipa medio a gran altura para el trfico alto. Si usted anticipa realmente trfico alto (o el trfico muy grande aguijonea), entonces usted seriamente debera considerar olvidarse de base de datos directa escribe - a mi parecer, tal situacin necesita ya sea un sistema muy especializado o un acercamiento diferente (el archivo del texto para base de datos que el acercamiento podra trabajar mejor para usted en este caso). El Esquema Global De Sistema En este escrito, me concentro en el aspecto del servidor. Si usted piensa en mensaje interactivo del syslog repase, entonces usted probablemente quiere centralizar syslog. En tal panorama, usted hace mquinas mltiples (los as llamados clientes) enviar sus datos a una mquina central (el servidor designado en este contexto). Mientras espero tal esquema para ser tpico cuando usted tiene inters en almacenar mensajes en la base de datos, no describo cmo establecerla. Esto est ms all del alcance de este escrito. Si usted registra un poco de, entonces usted probablemente encontrar muchas buenas descripciones de adelante cmo centralizar syslog. Si usted hace eso, entonces podra ser una buena idea hacerla afianzadamente, as es que usted tambin podra estar interesado en mi escrito en mensaje del syslog de ssl-encrypt reembarque. No importa cun los mensajes llegan al servidor, su procesamiento est siempre lo mismo. As es que usted puede usar este escrito en combinacin con cualquier descripcin para syslog centralizado reportando. Como ya dije, uso rsyslogd en el servidor. Tiene soporte intrnseco para hablar para bases de datos MySQL. Para las razones obvias, tambin necesitamos una instancia de MySQL corriendo. Conservarnos enfocados, el esquema de MySQL mismo est tambin ms all del alcance de este escrito. Doy por supuesto que usted exitosamente ha instalado a MySQL y tambin tiene a mano una seccin de entrada para surtir efecto con ella (por ejemplo, phpMyAdmin). Por favor asegrese de que esto es instalado, de hecho en funciones y usted tiene una comprensin bsica de cmo manipularla. Estableciendo el sistema Usted necesita hacer un download e instalar rsyslogd primero. Obtenga eso del sitio del rsyslog.

Asegrese de que usted lisia a syslogd accionario, de otra manera usted experimentar algunas dificultades. En algunas distribuciones (el Sombrero De Fieltro 8 y por encima de, por ejemplo), rsyslog ya puede por el syslogd predeterminado, en cuyo caso usted obviamente no necesita hacer cualquier cosa especfica. Pues muchos otros, all son preconstruya paquetes disponibles. Si usted usa cualquier, entonces por favor asegrese de que usted tiene los plugins requeridos de la base de datos para su base de datos disponible. Usualmente no es un paquete separado y tpicamente no instalado por defecto. Es importante para entender cmo habla el rsyslogd para la base de datos. En rsyslogd, all est el concepto de "plantillas". Bsicamente, una plantilla es una cuerda que incluye a algunos personajes del reemplazo, que son "propiedades" designadas en rsyslog. Las propiedades son a las que se gan acceso por el "Replacente de la propiedad". Simplemente dicho, que usted gana acceso a las propiedades incluyendo su nombre entre el por ciento firma dentro de la plantilla. Por ejemplo, si el mensaje del syslog es "Test", entonces la plantilla "% %msg" sera expandida para "experimentar". Rsyslogd respalda enviar el texto de la plantilla como una declaracin de lenguaje normalizado de consulta a MySQL. Per se, la plantilla debe ser una declaracin vlida de lenguaje normalizado de consulta. No hay lmite en lo que la declaracin podra estar, excepto hay algo de elecciones obvias y nada de eso obvias. Por ejemplo, una plantilla "mesa de cada xxx" es posible, pero no hace una parte horrible de sentido. En la prctica, usted siempre usar un "inserto" statment dentro de la plantilla. Un ejemplo: Si a usted justamente le gustara almacenar el msg en parte del mensaje lleno del syslog, entonces usted probablemente ha creado una mesa "syslog" con una columna sola "mensaje". En tal caso, una buena plantilla sera "inserto en syslog (el mensaje) aprecia ( ' el % %msg ' )". Con el ejemplo arriba, eso sera expandido para "insertar en los valores syslog ( ' Test ' ) (el mensaje ) '. Esta cuerda expandida es luego enviada a la base de datos. Es ese fcil, ninguna magia especial. Lo nico que usted debe asegurar es que su plantilla expande para una declaracin correcta de lenguaje normalizado de consulta y que esta declaracin corresponde a su diseo de la base de datos. Quiere decir eso que usted necesita crear esquema de la base de datos por usted mismo y tambin completamente debe entender las propiedades de rsyslogd? No, eso no es necesario. Porque anticipamos que las personas son probablemente ms interesadas en poner en marcha cosas en lugar de disearlos desde la nada. As es que hemos provisto un esquema predeterminado as como tambin construya adentro soporte para eso. Este esquema tambin ofrece un beneficio adicional: El rsyslog es de la lnea de productos MonitorWare de Adiscon (que incluya abre fuente y miembros cerrados de la fuente). Todo estas herramientas comparten el mismo esquema predeterminado y saben cmo operar en l. Por esta razn, el esquema predeterminado se llama tambin el "MonitorWare Schema". Si usted lo usa, entonces usted simplemente puede agregar a phpLogCon, una interfaz de trama GPLed syslog, para su sistema y puede tener acceso interactivo instantneo para su base de datos. Tan hay algo de beneficios en usar el esquema provisto. La definicin de esquema es contenida en el archivo "createDB sql". Viene con el paquete del rsyslog. Revselo para comprobar que el nombre de la base de datos es aceptable para usted. Ser seguro para levantarse de la mesa y nombres del campo sin modificar, porque de otra manera usted necesita hacer a la medida la plantilla predeterminada del sql de rsyslogd, cul no hacemos en este escrito. Luego, dirija la letra con su herramienta favorita MySQL. Haga una doble comprobacin que la mesa fue exitosamente creada. El soporte MySQL en rsyslog es integrado por un mdulo de aditamento para agregar al equipo cargable. Para usar la funcionabilidad de la base de datos, MySQL debe ser facultado en el archivo del config ANTES DE QUE la primera accin de la mesa de la base de datos est usada. Esto est hecho colocando lo

$ModLoad ommysql La directiva en el begining de / rsyslog.conf de / etc. Para otras bases de datos, use su nombre del plugin (por ejemplo ompgsql). Despus, necesitamos decir rsyslogd para escribir datos para la base de datos. Como usamos el esquema predeterminado, no necesitamos definir una plantilla para esto. Podemos usar el hardcoded un (rsyslogd manipula la plantilla correcta acoplndose). Tan todo necesitamos hacer es aade una lnea simple del selector para / rsyslog.conf de / etc: El *.El *:El ommysql:El nombre de base de datos de servidor, de base de datos, la contrasea de base de datos de identificacin del usuario, de base de datos Otra vez, otras bases de datos tienen a otros nombres del selector, e.g. ":Ompgsql ": En lugar de ":Ommysql ":. Vea la documentacin de salida plugin para los detalles. En muchos casos, MySQL funcionar con la mquina local. En este caso, usted simplemente puede usar a "127.0.0.1" para servidor de base de datos. Esto puede ser especialmente aconsejable, si usted no necesita exponer a MySQL para cualquier proceso fuera de la mquina local. En este caso, usted simplemente se lo puede amarrar para 127.0.0.1, lo cual provee un esquema muy seguro. Por supuesto, tambin los soportes las instancias remotas MySQL. En ese caso, use el nombre remoto (por ejemplo mysql.example.com) del servidor o la DIRECCIN IP. El nombre de base de datos en rebelda es "syslog". Si usted ha modificado el defecto, entonces use su nombre aqu. La identificacin del usuario de base de datos y - la contrasea son las credenciales usadas para conectarse a la base de datos. Como se guardan adentro despeje texto en rsyslog.conf, ese usuario debera tener slo los privilegios menos posibles. Es conceder eso privilegios del INSERTO para la mesa de systemevents, slo. Como una nota al margen, es fuertemente aconsejable hacer el archivo del rsyslog.conf legible por raz slo - si usted la hace legible en mundo, entonces todo el mundo podra obtener la contrasea (y eventualmente otra informacin vital de ella). En nuestro ejemplo, asummosle le ha creado a un usuario MySQL "syslogwriter" nombrado con una contrasea de "topsecret" (simplemente para decirlo a secas: Tal contrasea no es una buena idea ...). Si su base de datos MySQL est en la mquina local, entonces su especialidad del rsyslog.conf podra mirar anlogo en esta prueba: El *.El *:El ommysql:127.0.0.1, Syslog, syslogwriter, topsecret Salve a rsyslog.conf, vuelva a arrancar a rsyslogd - y usted debera ver mensajes del syslog siendo almacenado en los "systemevents" mesa! La lnea de ejemplo almacena cada mensaje para la base de datos. Especialmente si usted tiene un volumen alto de trfico, entonces usted probablemente limitar la cantidad de ser mensajes puso en bitcora. Esto es fcil para acomplish: La "base de datos de escritura" accin es simplemente una lnea regular del selector. Per se, usted puede aplicar lnea normal de selector filtrando. Si, por ejemplo, usted est slo interesado en mensajes del subsistema del correo, usted le puede usar al siguiente selector lnea: El correo.El *:El ommysql:127.0.0.1, syslog, syslogwriter, topsecret Revise la documentacin del rsyslog.conf para los detalles en lneas del selector y su filtrado. Usted ahora ha completado todo necesario para almacenar mensajes del syslog para la base de datos MySQL. Si a usted le gustara probar una seccin de entrada, entonces usted podra querer mirar a phpLogCon, lo cual exhibe datos del syslog en un navegador. A partir de esta escritura, phpLogCon no est an una herramienta energtica, pero es fuente abierta, as es que podra ser un punto de partida para su solucin.

En La Fiabilidad Rsyslogd escribe mensajes del syslog directamente para la base de datos. Esto significa que la base de datos debe estar disponible en el tiempo de llegada de mensaje. Si la base de datos es no en la Internet, entonces ningn espacio queda o alguna otra cosa sale mal - rsyslogd puede no escribir el registro de la base de datos. Si el rsyslogd es incapaz de almacenar un mensaje, entonces realiza un nuevo intento. Esto es de ayuda si el servidor de la base de datos fue vuelto a arrancar. En este caso, la conexin previa estaba quebrada pero uno reconecte inmediatamente tiene xito. Sin embargo, si la base de datos est abajo para un perodo de tiempo extendido, entonces un nuevo intento inmediato no ayuda. La prdida de mensaje en esta panorama fcilmente puede ser impedida con rsyslog. Todo lo que usted necesita hacer es dirigido el escritor de la base de datos en el modo al que se hizo cola. Esto es ahora descrito en una forma genrica y yo no tengo la intencin de duplicarla aqu. Tan por favor ser seguro para leer "manipular una tasa maciza del inserto de la base de datos del syslog con Rsyslog", lo cual describe la panorama y tambin incluye ejemplos de configuracin. La conclusin Con esfuerzo mnimo, usted puede usar rsyslogd para escribir mensajes del syslog para una base de datos MySQL. Usted aun le puede hacer absolutamente infalible y lo puede proteger en contra del perodo de inactividad por fallas del servidor de la base de datos. Una vez que los mensajes son llegados all, usted enlata revisin del interactivley y los analiza. En la prctica, los mensajes se guardan tambin en archivos del texto pues el archival de trmino ms largo y las bases de datos son limpiados de desechos despus algn tiempo (para evitar ponerse demasiado lento). Si usted espera un volumen de mensaje del syslog sumamente alto, entonces almacenando l en el tiempo real para la base de datos puede funcionar mejor que su servidor de la base de datos. En tales casos, ya sea filtrar fuera de algunos mensajes o el usado modo al que se hizo cola (cul en general es recomendado con bases de datos). El mtodo esbozado en este escrito provee uno fcil para el esquema y mantenga solucin pues la mayora usa casos. La Retroalimentacin Pedida Apreciara la retroalimentacin en este escrito. Si usted tiene ideas adicionales, comentarios o encuentre problemas nos resueltos en el software, entonces por favor djeme saber. Las Referencias y Material Adicional Www.rsyslog.com - el sitio del rsyslog Empapele En Syslog Server Optimization La Historia De Revisin La versin de la inicial del Rainente 2005-08-02 * Gerhards * cre El Rainente 2005-08-03 * Gerhards * aadi referencias para sitio del demo El Rainente 2007-06-13 * Gerhards * quit sitio del demo - fue derribado porque muy caro para cuenta de uso El Rainente 2008-02-21 * Gerhards * actualiz divisin de fiabilidad, ora puede haber terminado en colas del disco de demanda El Rainente 2008-02-28 * Gerhards * sobreaadi la informacin a otras bases de datos, actualiz sintaxis para ms reciente RSyslog - las Caractersticas Esta pgina lista ambas caractersticas actuales as como tambin esas considerndose para versiones futuras de rsyslog. Si usted piensa que una crnica especial es Rainente faltante de cada, una nota. Rsyslog es un proyecto vital. Las caractersticas estn aadidas cada uno pocos

das. Si a usted le gustara continuar de pasa, entonces usted tambin puede subscribirse al rsyslog enviando por correo lista. Una mejor lista estructurada de rasgo est ahora contenida en nuestro rsyslog vs. la confrontacin de syslog-ng. Probablemente esa pgina reemplazar ste en el futuro. Las Caractersticas Actuales El soporte natal para escribir para las bases de datos MySQL El soporte natal para escribir para las bases de datos Postgres Dirija soporte para Firebird Interbase, OpenTDS (el lenguaje normalizado de consulta de Mississippi, Sybase), SQLLite, Ingres, Oracle, y mSQL por libdbi, un estrato de abstraccin de la base de datos (casi como el bien como nativo) El soporte natal para enviar mensajes del correo (primero visto en 3.17.0) Soporte para (francamente) syslog basado tcp - la fiabilidad mucho mejor El soporte para enviar y a recibir comprimi mensajes del syslog El soporte para en la demanda en la realizacin de operaciones perifricas simultneas del disco de mensajes que pueden no ser proces lo suficientemente (un gran rasgo para escribir cantidades macizas de mensajes del syslog para una base de datos) rpido Soporte para selectivamente procesar mensajes slo durante timeframes especficos y enrollrselos para disco de otra manera La habilidad para monitorear archivos del texto y convertir sus contenidos en mensajes del syslog (uno por lnea) La habilidad para configurar servidores de la / base de datos del syslog de apoyo - si lo primario falla, entonces el control es cambiado para una lista a la que se dio prioridad de respaldos Soporte para mensajes que recibe por Corporacin Financiera Para La Reconstruccin confiable 3195 entrega (un clumpsy mordido a construir ahora mismo ...) La habilidad para generar archivo nombra y directorios (el leo apunta a) dinmicamente, basadas en muchas propiedades diferentes El control de formato de salida del leo, incluyendo habilidad para presentar canal y la prioridad como datos visibles del leo El buen control de formato del timestamp; En un mnimo, la Organizacin Internacional De Normalizacin 8601 / la Corporacin Financiera Para La Reconstruccin 3339 secundan zona de hora universal coordinada de resolucin La habilidad para reformatear mensaje contenta y trabajo con subcadenas Soporte para archivos del leo ms grande que 2gb Soporte pues la limitacin de tamao del archivo y la refinanciacin automtica dominan ejecucin Soporte para instancias mltiples corredoras del rsyslogd en una mquina sola Soporte para syslog protegido a TLS (ambos natively y por stunnel) La habilidad a filtrar en cualquier parte del mensaje, no simplemente facilidad y severidad La habilidad para usar expresiones regulares de adentro filtra Soporte para descartar mensajes basados en filtros La habilidad para ejecutar letras de la concha de adelante recibi mensajes El control de si el hostname local o el hostname del origen de los datos es exteriorizado como el hostname en la salida La habilidad para conservar el hostname original en ambientes NAT y las cadenas de rels La habilidad para limitar los remitentes permitidos de la red BSD-STYLE poderoso que el hostname y el programa nombran se bloquea para soporte multianfitrin fcil Macizamente multiensartado con hilo dinmico de trabajo pone en un fondo comn ese puesta en marcha y cirrese adelante una base (gran para el volumen alto del leo en mquinas multide fondo) tan necesitada El soporte muy experimental y voltil para syslog-protocol los mensajes condescendientes (es voltil porque la estandarizacin est actualmente en camino y sta es una prueba de implementacin de concepto para auxiliar este esfuerzo)

La primera implementacin de syslog-transport-tls del mundo La funcionabilidad klogd de sysklogd es implementada como el aditamento para agregar al equipo de energa de entrada del imklog. As es que el rsyslog es un reemplazo lleno para el sysklogd paquete Soporte para IPv6 La habilidad para controlar repiti reduccin de la lnea ("el ltimo mensaje repetido n cronometra") adelante uno por base de la lnea - selector Los archivos de configuracin de soportes, cul pueden ser automticamente ledos de directorios. Incluye es especificado en el archivo de configuracin principal Las acciones de mltiplo de soportes por selector /filtro ponen en forma MySQL y funcionabilidad de lenguaje normalizado de consulta Postgres como un aditamento para agregar al equipo dinmicamente cargable El diseo modular para las energas de entrada y las salidas - fcilmente extensible por plugins aduaneros Uno fcil para escribir para la interfaz del plugin La habilidad para enviar mensajes de la trampa de protocolo de manejo de redes simples La habilidad para limpiar con un filtro mensajes basados en la secuencia de llegada Soporte para la generacin de salida de comma-seperated-seperated-value (por el "csv" propiedad reemplace opcin) (CSV). El formato CSV soportado es eso de Corporacin Financiera Para La Reconstruccin 4180. Soporte para boolean complicado arbitrario, la cuerda y las expresiones de aritmtica en filtros de mensaje World es primero Rsyslog tiene un nmero interesante de "primeras partes del mundo - las cosas que fueron implementadas por primera vez alguna vez en rsyslog. Una cierta cantidad de ellos es caractersticas de silencio no disponibles a otro sitio. La primera implementacin de syslog-protocol de Anteproyecto-Internet de Grupo De Trabajo Especial De Ingeniera Internet (febrero del 2006, 1.12.2 de versin y arriba) del mundo, ahora RFC5424 La primera implementacin de syslog dinmico del mundo en la compresin almbrica (diciembre del 2006, 1.13.0 de versin y arriba) El mundo es primera implementacin de la fuente manifiesta de un disk-queueing syslogd (enero del 2008, 3.11.0 de versin y arriba) La primera implementacin de syslog-transport-tls de Anteproyecto-Internet de Grupo De Trabajo Especial De Ingeniera Internet (mayo del 2008, 3.19.0 de versin y arriba) del mundo Las Caractersticas Prximas A Salir La lista de debajo es algo como un confidente de ideas que nos gustara implementar. Las caractersticas en esta lista no son tpicamente programadas para inclusin inmediata. Mantenemos un rastreador de peticin de rasgo en nuestro bugzilla. Este rastreador tiene cosas tpicamente al alcance de la implementacin. Los usuarios estn animados para proponer rasgo pide all (o por nuestros foros). Si nos gustan ellos sino se vieran muy longevos (aka "no pronto a ser implementado"), entonces posiblemente sern emigrados para esta lista aqu y en algn tiempo emocionado de regreso al rastreador del bugzilla. Noto que tambin mantenemos que una lista de caractersticas que andan buscando patrocina. Si usted est interesado en cualquiera de estas caractersticas, o cualquier otro rasgo, entonces usted puede considerar fiar la implementacin. sta es tambin una gran forma para exteriorizar su compromiso para la comunidad abierta de la fuente. Ms, puede financieramente ser atractivo: Simplemente piense acerca de cunto menos eso puede deber fiar un rasgo en lugar de comprar una implementacin comercial. Tambin, el beneficio de ser reconocido como un patrocinador aun puede conducir a clientes nuevos hacia su negocio!

Pngaselo a babor para ms variantes del *nix (el Ejecutivo Interactivo Avanzado eg y HP UX) esto necesita a los voluntarios con acceso para esas mquinas y el conocimiento El pcre filtrando - tal vez (a merced de la retroalimentacin) - regex simple ya en parte aadido. Hasta ahora, esto parece suficiente a fin de que no hay necesidad urgente para hacer pcre. Estando hecho, ser un RainerScript cargable funcin. Soporte para Corporacin Financiera Para La Reconstruccin 3195 como un remitente - esto tiene actualmente poca probabilidad de ocurrir, porque no hay demanda real para ella. Cualquier trabaje en Corporacin Financiera Para La Reconstruccin 3195 ha sido suspenda hasta que veamos algn inters real en l. Es probablemente mucho mejor usar a syslog basado en protocolos de control de transmisin, lo cual es interoperable con un nmero grande de aplicaciones. Usted tambin puede leer mi poste del blog en el futuro de liblogging, lo cual contiene informacin interesante acerca del futuro de Corporacin Financiera Para La Reconstruccin 3195 en rsyslog. rsyslog vs. syslog-ng Written by Rainer Gerhards (2008-05-06) We have often been asked about a comparison sheet between rsyslog and syslog-ng. Unfortunately, I do not know much about syslog-ng, I did not even use it once. Also, there seems to be no comprehensive feature sheet available for syslog-ng (that recently changed, see below). So I started this comparison, but it probably is not complete. For sure, I miss some syslog-ng features. This is not an attempt to let rsyslog shine more than it should. I just used the rsyslog feature sheet as a starting point, simply because it was available. If you would like to add anything to the chart, or correct it, please simply drop me a line. I would love to see a real honest and up-todate comparison sheet, so please don't be shy ;) Feature rsyslog syslog-ng Input Sources UNIX domain socket UDP TCP RELP RFC 3195/BEEP kernel log file mark message generator as an optional input Windows Event Log

yes yes yes yes yes (via im3195) yes yes yes

yes yes yes no no yes yes no (?)

via EventReporter or MonitorWare via separate Agent (both commercial software) Windows agent, paid edition only

Network (Protocol) Support support for (plain) tcp based syslog support for GSS-API ability to limit the allowed network senders (syslog ACLs) support for syslog-transport-tls based framing on syslog/tcp connections udp syslog syslog over RELP truly reliable message delivery (Why is plain tcp syslog not reliable?) on the wire (zlib) message compression

yes yes yes yes yes yes yes

yes no yes (?) no (?) yes no no (?)

support for receiving messages via reliable RFC 3195 delivery support for TLS/SSL-protected syslog

yes natively (since 3.19.0) via stunnel yes

no via stunnel paid edition natively no no yes no yes

support for IETF's new syslog-protocol draft support for IETF's new syslog-transport- yes tls draft (since 3.19.0 - world's first implementation) support for IPv6 yes native ability to send SNMP traps yes ability to preserve the original hostname yes in NAT environments and relay chains Message Filtering Filtering for syslog facility and priority yes Filtering for hostname yes Filtering for application yes Filtering for message contents yes Filtering for sending IP address yes ability to filter on any other message field yes not mentioned above (including substrings and the like) support for complex filters, using full boolean algebra with and/or/not operators yes and parenthesis Support for reusable filters: specify a filter no once and use it in multiple selector lines support for arbritrary complex arithmetic yes and string expressions inside filters ability to use regular expressions in filters yes support for discarding messages based yes on filters ability to filter out messages based on yes (starting with 3.21.3) sequence of appearing powerful BSD-style hostname and yes program name blocks for easy multi-host support

yes yes yes yes yes no

yes yes no yes yes no no

Supported Database Outputs MySQL PostgreSQL Oracle SQLite Microsoft SQL (Open TDS) Sybase (Open TDS) Firebird/Interbase Ingres mSQL

yes (native ommysql, omlibdbi) yes (native ompgsql, omlibdbi) yes (omlibdbi) yes (omlibdbi) yes (omlibdbi) yes (omlibdbi) yes (omlibdbi) yes (omlibdbi) yes (omlibdbi)

yes (via libdibi) yes (via libdibi) yes (via libdibi) yes (via libdibi) no (?) no (?) no (?) no (?) no (?)

Enterprise Features support for on-demand on-disk spooling of messages ability to limit disk space used by spool files each action can use its own, independant set of spool files different sets of spool files can be placed on different disk ability to process spooled messages only during a configured timeframe (e.g. process messages only during off-peak hours, during peak hours they are enqueued only) ability to configure backup syslog/database servers Professional Support Config File config file format

yes yes yes yes

paid edition only yes no no

yes no (can independently be configured for the main queue and each action queue) yes yes no yes

compatible to legacy syslogd but ugly

ability to include config file from within yes other config files ability to include all config files existing in yes a specific directory Extensibility Functionality split in separately loadable yes modules Support for third-party input plugins yes Support for third-party output plugins Other Features ability to generate file names and directories (log targets) dynamically control of log output format, including ability to present channel and priority as visible log data native ability to send mail messages good timestamp format control; at a minimum, ISO 8601/RFC 3339 secondresolution UTC zone ability to reformat message contents and work with substrings support for log files larger than 2gb support for log file size limitation and automatic rollover command execution support for running multiple syslogd yes yes yes

clean but not backwards compatible no no

no no no

yes yes

yes (ommail, introduced in 3.17.0) no (only via piped external process) yes yes yes yes yes yes I think yes yes yes ? (but I think yes)

instances on a single machine ability to execute shell scripts on received yes messages ability to pipe messages to a continously no running program massively multi-threaded for tomorrow's yes multi-core machines ability to control repeated line reduction ("last message repeated n times") on a per selector-line basis supports multiple actions per selector/filter condition web interface using text files as input source rate-limiting output actions discard low-priority messages under system stress flow control (slow down message reception when system is busy) rewriting messages output data into various formats ability to control "message repeated n times" generation license supported platforms yes yes phpLogCon [also works with php-syslog-ng] yes yes yes yes (advanced, with multiple ways to slow down inputs depending on individual input capabilities, based on watermarks) yes yes yes GPLv3 (GPLv2 for v2 branch)

yes yes no (only multithreaded with database destinations) yes (?) yes php-syslog-ng yes yes no (?) yes (limited? "stops accepting messages") yes (at least I think so...) yes (looks somewhat limited to me) no (?) GPL (paid edition is closed source) many popular *nixes

Linux, BSD, anecdotical seen on Solaris; compilation and basic testing done on HP UX DNS cache no yes While the rsyslog project was initiated in 2004, it is build on the main author's (Rainer Gerhards) 12+ years of logging experience. Rainer, for example, also wrote the first Windows syslog server in early 1996 and invented the eventlog-to-syslog class of applications in early 1997. He did custom logging development and consulting even before he wrote these products. Rsyslog draws on that vast experience and sometimes even on the code. Based on a discussion I had, I also wrote about the political argument why it is good to have another strong syslogd besides syslog-ng. You may want to read it at my blog at "Why does the world need another syslogd?". Balabit, the vendor of syslog-ng, has just recently done a feature sheet. I have not yet been able to fully work through it. In the mean time, you may want to read it in parallel. It is available at Balabit's site. La compatibilidad Nota para rsyslog v3 Escrito Por Rainente Gerhards (2008-03-28) Rsyslog tiene la intencin de ser un reemplazo de informacin parsita para sysklogd. Sin

embargo, la versin 3 tiene algunos realces considerables, cul conduce a algunos asuntos retrasados de compatibilidad ambos con atencin a sysklogd y rsyslog v1 y v2. La mayor parte de estos asuntos no son evitados por defecto por ah no especificando lo - la opcin c en la lnea de comando del rsyslog. Eso posibilitar al revs modo de compatibilidad. Sin embargo, por favor note que las cosas pueden ser subptimas en atrs el modo de compatibilidad, as lo aconseja debe avanzar con dificultad a travs de este documento, poner al tanto a su rsyslog.conf, remover las ya no opciones a las que se dio soporte de arranque y luego agregar - c3 como la primera opcin para la lnea de comando del rsyslog. Eso posibilitar modo nativo. Por favor note que el rsyslogd le ayuda durante ese proceso poniendo en bitcora mensajes apropiados acerca del modo de compatibilidad y al revs la compatibilidad que los statemtents automticamente generaron. Usted puede querer su leo del syslogd para esos. Inmediatamente siguen el mensaje de arranque de rsyslogd. Introduce en la computadora Con v2 y debajo de, las energas de entrada comenzaron automticamente conjuntamente con rsyslog. En v3, las energas de entrada son optativas! Vienen en la forma de mdulos de aditamentos para agregar al equipo. Al menos un mdulo de energa de entrada debe ser cargado para hacer rsyslog hacer cualquier trabajo til. El doctor de directivas del archivo del config brevemente lista cules declaraciones del config estn disponibles por cules mdulos. Es sugerido que los mdulos de energa de entrada sean cargados en la parte superior en parte del archivo del config. Aqu hay un ejemplo, tambin el destacamiento los mdulos ms importantes: $ModLoad immark # provee - la MARCA - capacidad de mensaje $ModLoad imudp # provee recepcin del syslog de protocolo de datagrama de usuario $ModLoad imtcp # provee recepcin del syslog de protocolo de control de transmisin $ModLoad imgssapi # provee recepcin GSSAPI syslog $ModLoad imuxsock # provee soporte para la tala forestal local (por ejemplo por la orden del registrador) de sistema $ModLoad imklog # provee soporte de tala forestal de la semilla (previamente hecho por rklogd) Las Opciones De La Lnea De Comando Un nmero de opciones de la lnea de comando han estado removidas. Las directivas nuevas del archivo del config se han agregado para ellos. La - h y - opcin e ha estado removida aun en el modo de compatibilidad. Son ignorados pero un mensaje informativo es puesto en bitcora. Por favor note eso - h fue nunca soportada en v2, pero estaba silenciosamente ignorada. Desapareci tiempo atrs en las constituciones del v1 de cierre. Puede ser reemplazado aplicando filtrado correcto dentro de syslog.conf. - La opcin /compatibilidad c Mode Lo - la opcin c es nueva y dice rsyslogd acerca del modo retrasado deseado de compatibilidad. Siempre debe ser la primera opcin en la lnea de comando, como ella el procesamiento de influencias de las otras opciones. Para usar la interfaz nativa rsyslog v3, especifica - c3. Usar modo de compatibilidad, ya sea usar - c en todo o el uso - c vers > donde los vers es la versin del rsyslog a la que ser compatible. El uso - c0 para ser lnea de comando compatible para el sysklogd. Por favor note que el rsyslogd publica mensajes de advertencia si lo - la opcin de la lnea de comando c3 no es dada. Esto debe alertarle eso su se postula en el modo de compatibilidad. Los interfers de modo de compatibilidad con usted las rdenes del rsyslog.conf y pueden causar algunos efectos secundarios indeseados. Se quiere decir que es usado con un rsyslog.conf francamente viejo - si usted usa caractersticas nuevas, entonces las cosas se vuelven desordenadas. As lo mejor aconseje es avanzar con dificultad a travs de este documento,

convertir sus opciones y archivo config y luego usar rsyslog en el modo nativo. Para auxiliarle en este proceso, rsyslog pone en bitcora cada directiva del archivo del config de modo de compatibilidad que ha generado. As es que usted simplemente los puede copiar de su logfile y se los puede empastar para el config. - e Option Esta opcin es ya no soportado, como el "ltimo mensaje repetido n por" el rasgo es ahora revuelto feriado por defecto. Cambiamos este defecto porque este rasgo causa un montn de problema y nosotros necesitamos hacerle a l tampoco irnos o cambiar la forma que surte efecto. Para ms informacin, complazca oye nuestro hilo del foro del dedicted en "ltimo mensaje repetido las veces de la n". Este hilo tambin contiene informacin de adelante cmo configurar rsyslogd a fin de que contina dando soporte a este rasgo (mientras no est completamente removido). - m Option Lo - la opcin de la lnea de comando m es emulada en el modo del compatibiltiy. Para reemplazarlo, usar las siguientes directivas del config (el modo de compatibilidad los autogenera): $ModLoad immark $MarkMessageInterval 1800 # 30 minutos - r Option Est ya no disponible en el modo nativo. Sin embargo, es comprendido en el modo de compatibilidad (si no - la opcin c es dada). Use las directivas del archivo del > config del < puerto del $UDPSeverRun. Usted ahora tambin puede colocar la direccin local que el servidor debera escuchar por la directiva $UDPServerAddress ip config. El siguiente ejemplo configura un servidor del syslog de protocolo de datagrama de usuario en el 192.0.2.1 local de la direccin en puerto 514: $ModLoad imudp $UDPServerAddress 192.0.2.1 # esto DEBEN ESTAR antes de la directiva del $UDPServerRun! $UDPServerRun 514 "$UDPServerAddress *" manera escuchan en todas las interfaces locales. ste es el defecto si ninguna directiva es especificada. Por favor note que los oyentes ahora mltiples son soportados. Por ejemplo, usted puede hacer lo siguiente: $ModLoad imudp $UDPServerAddress 192.0.2.1 # esto DEBEN ESTAR antes de la directiva del $UDPServerRun! $UDPServerRun 514 $UDPServerAddress * # todas las interfaces locales $UDPServerRun 1514 Estos trasfondos del archivo del config dirigen a dos oyentes: Uno en 192.0.2.1:514 y uno adelante ponen a babor 1514, lo cual oye en todas las interfaces locales. Juzgue en rebelda puerto para el protocolo de datagrama de usuario (y el protocolo de control de transmisin) Servers Por favor note que con v3 rsyslogd, una bsqueda de la base de datos de servicio estaba hecha cuando un servidor de protocolo de datagrama de usuario fue iniciado y ningn puerto fue configurado. Slo si eso fall, entonces la Autoridad De Nmeros Asignados Internet predeterminada de 514 estaba usada. Pues los servidores de protocolo de control de transmisin, esta bsqueda no estaba nunca hecha y 514 siempre usadas si ningn puerto especfico fue

configurado. Para consitency, ambos protocolo de control de transmisin y protocolo de datagrama de usuario ahora usan puerto 514 como el defecto. Si una bsqueda gusta, entonces usted necesita especificarle a ella en la directiva "dirigida", e.g. "$UDPServerRun syslog". El klogd El klogd (finalmente) ha sido reemplazado por un mdulo cargable de energa de entrada. Para posibilitar funcionabilidad del klogd, hace $ModLoad imklog Noto que esto puede no ser manipulado por el estrato de compatibilidad, como el klogd fue un binary.A separado set limitado de klogd la lnea de orden trasfondos es ahora soportado por rsyslog.conf. Ese set de directivas de configuracin debe ser expandido. El Syncing Del Archivo De Salida Rsyslogd trata de seguir tan compatible para surtir syslogd tan posible. Per se, no retuvo accionario el defecto de syslogd de syncing cada archivo de escritura especificado diferente (poniendo adelante un arranque del nombre del archivo de salida). Mientras ste fue un rasgo til adentro despus de das donde el hardware fue mucho menos confiable y suministro continuo de energa elctrica rara vez, as de ya no es til en el worl del hoy. En lugar de eso, el syncing es un golpe alto del performace. Con eso, rsyslogd escribe archivos alrededor de 50 *times * ms lento que sin eso. Tambin afecta actuacin global de sistema debido a la actividad alta IO. En rsyslog v3, syncing ha estado apagado por defecto. Esto est hecho por una directiva especfica de configuracin "$ActionFileEnableSync adelante / fuera de" el cual est apagado por defecto. As es que aun si el rsyslogd encuentra que las lneas del selector del sync, los ignora por defecto. Para facultar archivo syncing, el administrador debe especificar a "$ActionFileEnableSync adelante" en lo alto de rsyslog.conf. Esto asegura que syncing slo ocurre en algunas instalaciones fsicas donde el administrador realmente quiso ese (intenso en la actuacin) rasgo. En la mayora rpida de casos (en caso de que no todo), esto dramticamente aumenta actuacin del rsyslogd sin cualquier efectos negativos. El Formato Del Archivo De Salida Rsyslog soporta Corporacin Financiera Para La Reconstruccin alta de precisin 3339 timestamps y mete estos en archivos locales del leo por defecto. sta es una partida de comportamiento previo del syslogd. Decidimos para sacrify alguna compatibilidad retrasada en un esfuerzo para proveer una mejor solucin de tala forestal. Rsyslog ha estado soportando los timestamps de precisin alta por ms de tres aos a partir de esta escritura, pero nadie los us porque no fueron predeterminados (uno tambin puede dar por supuesto que la mayora de la gente aun no supo de ellos). Ahora, escribimos los timbres de tiempo de precisin alta grandes, cul grandemente la ayuda en obtener la secuencia correcta de acontecimientos de tala forestal. Si a usted no le gusta eso, entonces usted fcilmente los puede cerrar colocando $ActionFileDefaultTemplate RSYSLOG _ TraditionalFileFormat Vindique en el principio de su rsyslog.conf. Esto usar el formato previo. Por favor note que el nombre es sensible a las maysculas-minsculas y debe ser specificed exactamente como se muestra arriba. Complazca tambin nota que usted enlata por supuesto que uso cualquier otro formato de su aficin. Para hacer eso, simplemente especificar la plantilla a usar o colocar una plantilla predeterminada nueva por la directiva del $ActionFileDefaultTemplate. Mantngase en la mente, sin embargo, que las plantillas deben estar definidas antes de es usado. Recuerde que al mensajes receptores de anfitriones remotos, el timestamp es tan preciso como el anfitrin remoto lo provey. Las ms veces, esto quiere decir que usted slo uno recibir un timestamp estndar con segunda precisin. Si el rsyslog se lanza contra el cabo remoto, entonces usted lo puede configurar para proveer precisin alta timestamps (vea debajo). Reenviando Formato

Al remitir los mensajes a los servidores remotos del syslog, rsyslogd en rebelda usa el syslog francamente viejo formatee con resolucin que se secunda ras con ras dentro de los timestamps. Lo pudimos haber hecho emitir timestamps altos de precisin. Sin embargo, eso habra roto casi todos los aparatos receptores, incluyendo anteriores versiones de rsyslog. Para evitar esta molestia, los timestamps de precisin alta necesitan ser explicitely posibilitado. Para hacer esto tan indoloro como posible, rsyslog viene con una plantilla enlatada que contiene todo necesario. Para facultar precisin alta timestamps, simplemente uso: $ActionForwardDefaultTemplate RSYSLOG _ ForwardFormat # para el protocolo de control de transmisin simple y el protocolo de datagrama de usuario $ActionGSSForwardDefaultTemplate RSYSLOG _ ForwardFormat # para GSS-API Y, claro est, usted siempre puede colocar formatos diferentes de reenvo por ah simplemente especificando la plantilla correcta. Si usted corre en un sistema con slo rsyslog 3.12.5 y por encima de adentro los papeles del aparato receptor, es sugerido para aadir una (o ambos) de las citadas anteriormente declaraciones para la parte superior de su rsyslog.conf (pero despus de los $ModLoad's ! ) - eso le posibilitar a usar lo mejor en availble del soporte del timestamp. Por favor note eso cuando usted usa este formato con otros aparatos receptores, probablemente se volvern bastante confundidos y no detectarn el timestamp del todo. En tiempo atrs versiones del rsyslog, por ejemplo, eso las pistas para la duplicacin de timestamp y los campos hostname y desactiva la deteccin del orignal hostname en un ambiente del relayed/NATed. As es que use el formato nuevo con cuidado. La cola Modes para el Message Principal Queue Ya sea "FixedArray" o "LinkedList" es recomendado. "Direct" est disponible, pero no debera ser usado excepto por una razn muy buena ("Direct" desactiva queueing y potencialmente conducir a la prdida de mensaje en el lado de energa de entrada). La compatibilidad Nota para rsyslog v4 Escrito Por Rainente Gerhards (2009-07-15) Los cambios introducidos en rsyslog v4 no son numerosos, pero no muy intrusivo. Este documento describe cosas para recordar al mover de v3 a v4. Eso no lista realces ni habla de compatibilidad que las preocupaciones introdujeron por v3 (para esto, vea las notas de compatibilidad rsyslog v3). HUP yendo en procesin Con v3 y debajo de, rsyslog us el comportamiento tradicional HUP. Eso quiso decir que todos los archivos de salida son cerrados y el archivo de configuracin lo es relea y la configuracin nueva aplicada. Con un programa tan simple y esttico como sysklogd, esto no fue mucho de un asunto. Los trasfondos del config (guste la recepcin del udp) ms importantes de un syslogd tradicional pueden no ser modificados por el archivo de configuracin. As un archivo del config vuelve a cargar slo signific establecer un set nuevo de filtros. Tambin no llev las cuentas como el problema que el rato haciendo as es que los mensajes pueden perderse - sin cualquier rosca y haciendo cola modelo, un syslogd tradicional potencialmente siempre dejar caer mensajes, as es que es irrelevante si ste ocurre, tambin, durante el config pequeo relee fase. En rsyslog, las cosas son realmente diferentes: El programa es ms o menos un armazn en el

cual los mdulos cargables son cargados segn se necesite para una configuracin particular. El software que lega acutally corra es taylored por el archivo del config. As, uno relee del archivo del config requiere uno lleno, muy pesado reandese, porque el acutally del software marchando con el config nuevo puede completamente ser diferente a lo que corri con el config viejo. Consecuentemente, el HUP tradicional es una operacin muy pesada y aun puede causar alguna prdida de datos porque las colas deben ser cerradas, los oyentes se detuvieron etctera. Una cierta cantidad de estas operaciones (a merced de su configuracin) implican prdida intencional de mensaje. La operacin tambin lleva hacia arriba un montn de recursos de sistema y necesidades muy algn tiempo (tal vez los segundos) para ser completada. Durante esto reandese y punto, el syslog subsytem no est completamente disponible. De punto de vista del desarrollador del software, los llenos se reanudan hechos por un HUP est bastante complicado, especialmente si el intervalo de espera de usuario delimita set en la terminacin de accin es tomado en cuenta (para esos al tanto: En los fines del extremo que esto quiere decir que necesitamos cancelar ensarta como ltimo recurso, excepto que necesitemos asegurarnos de que tal cancelacin no ocurre en las proposiciones donde sera fatal para uno reandese). Un cliente habitual reandese, dnde el proceso est de hecho terminado, est mucho menos complicado, porque el sistema operativo haga una limpieza total completa despus tramita terminacin, as es que el rsyslogd no necesita tomar cuidado por casos exticos de limpieza total y salir eso al sistema operativo. En el resultado final, vuelve a arrancar desorden de HUPs de tipo el cdigo, complejidad de incremento (la lectura: Aada problemas nos resueltos en el software) y la actuacin costada. Al contrario, un HUP es tpicamente necesario para la rotacin del leo, y el deseo real es cerrar archivos. sta es una operacin poco disruptiva y misma del lightweigth. Muchas personas han dicho que estn acostumbradas a HUP el syslogd para aplicar configuracin cambia. Esto es cierto, pero es dudoso si eso realmente justifica todo el costo que viene con eso. Despus de todo, es la diferencia entre escribir La matanza del $ - HUP / ' carrera del gato /volt-ampere reactivo / rsyslogd.pid ' Versus / init.d/rsyslog de / etc del $ reandese Semantically, ambos son en su mayor parte la misma cosa. La nica diferencia es eso con lo vuelve a arrancar rsyslogd de orden puede escupir mensaje de error del config para stderr, a fin de que el usuario puede ver cualquier problemas y arreglarlos. Con un HUP, no tenemos acceso al stderr y as podemos poner en bitcora mensajes de error slo para sus destinos configurados; El exprience dice a que la mayora de usuarios nunca los encontrarn all. Lo que, a propsito, es otro rsyslogd fuerte de reanudacin de argumento en contra por HUPing eso. As uno se reanuda por HUP no es estrictamente menester y la mayora de otros deamons toman que uno vuelve a arrancar orden es introducida si uno reandese es precisado. Rsyslog seguir este paradigma en las siguientes versiones, resultando en muchos beneficios. En v4, proveemos algn soporte para la semntica de estilo antiguo. Introdujimos un $HUPisRestart poniente que podemos estar colocados para "adelante" (tradional, operationg pesado) o "completamente" ("el final" nuevo, ligero del "archivo slo" la operacin). Las versiones iniciales colocaron el defecto para el comportamiento tradicional, pero comenzando con 4.5.1 estamos ahora usando el comportamiento nuevo como el defecto. Sobre todo, esto puede romper algunas letras, pero mi creencia sincera es esa que hay muy

pocas letras que automticamente cambian config de rsyslog y luego hacen a un HUP para volverlo a cargar. De todas maneras, si usted tiene una cierta cantidad de estos, entonces puede ser una buena idea cambiarlos ora en lugar de cambiar de direccin vuelven a arrancar HUPs de tipo adelante. Aparte de eso, uno principalmente necesita cambiar la costumbre cmo volver a arrancar rsyslog despus de un cambio de configuracin. Por favor note eso vuelve a arrancar tipo HUP es depricated y se ir en rsyslog v5. As es que es una buena idea ponerse listo para la nueva versin ahora y tambin disfrute una cierta cantidad de los beneficios de los reales reandese", guste el mejor error reportando capacidad. Note esas necesidades de reduccin de complejidad de cdigo (y as la mejora de actuacin) lo vuelven a arrancar cdigo de tipo HUP para ser removidas, as es que estos cambios (y la voluntad) slo pueden ocurrir en versin 5. El rsyslog de localizacin de fallas Teniendo dificultad con rsyslog? Esta pgina provee algunas propinas de en donde para buscar ayuda y qu hacer si usted necesita pedir asistencia. Esta pgina es continously siendo expandida. Los ressources tiles de localizacin de fallas son: La documentacin del rsyslog - noto que la versin en lnea siempre cubre la mayor parte de versin reciente de auge. Sin embargo, hay un set especfico en la versin de doctor en cada tarball. Si usted instal, entonces el rsyslog de un paquete, usualmente hay un paquete de rsyslog-doc, ese a menudo necesidades a ser instaladas separadamente. El rsyslog wiki provee a usuario las propinas y las experiencias. Compruebe el bugzilla para ver si su problema es uno sabido (y aun se concentr;)) El problema no resuelto en el software. Messages Malformado y Message Properties Una fuente comn de problema son mensajes de formas enferma del syslog, cul lleva hacia todos los tipos de problemas interesantes, incluyendo hostnames malformados y fechas. Lea al gua citado para encontrar alivio. Un sntoma comn es que la propiedad del % %HOSTNAME sirve para generar nombres del dynafile, pero algn glibberish aparece. Esto se debe a los mensajes malformados del syslog, as es que sea seguro para leer al gua si usted confronta ese problema. Simplemente djeme aadir que el trabajo comn de aproximadamente debe usar % %FROMHOST del % o de %FROMHOST-IP en lugar de eso. Estos no toman el hostname del mensaje, pero ms bien le usan al anfitrin tan enviado el mensaje (ocupados del estrato del conector). Por supuesto, esto no trabaja sobre NAT o las cadenas de rels, donde la nica cura debe hacer los remitentes seguros emiten mensajes bien estructurados. Los Problemas De Configuracin Rsyslog 3.21.1 y arriba ha sido realzado para dar soporte a prolong configuracin inspeccionando. Ofrece un interruptor especial (- N1) de la lnea de comando que lo mete en "modo de verficacin config". En ese modo, interpreta y cheque el archivo de configuracin, pero no hace arranque. Este modo puede ser usado adentro paralelamente para una instancia corredora de rsyslogd. Para posibilitarlo, dirigir rsyslog interactivamente como sigue: / el camino / para / rsyslogd - / el camino f / para config-file - N1

Usted tambin debera especificar otras opciones que usted usualmente da (guste - c3 y cualquier otra cosa). Cualquier problemas experimentados son reportados a stderr aka " your screen " ( if not redirected ) . Las Grficas De Configuracin Comenzando con rsyslog 4.3.1, el "$GenerateConfigGraph" comando es soportado, una herramienta de localizacin de fallas muy valiosa. Permite generar una grfica de cmo entendi el rsyslogd su archivo de configuracin. Es asumido que tantos asuntos de configuracin fcilmente pueden ser detectados simplemente mirando la grfica de configuracin. Los detalles completos de cmo generar las grficas, y qu buscar puede ser encontrado en el "$GenerateConfigGraph" pgina del manual. Socilitando Ayuda Si usted no puede encontrar la respuesta por usted mismo, entonces usted debera mirar estos lugares para la ayuda comunal. El foro del rsyslog. ste es el mtodo preferido de soporte de obtencin. El rsyslog enviando por correo lista. sta es una lista de volumen bajo que ocasional obtienen alcayatas de trfico. La lista de correo debe de ser un buen lugar para preguntas complicadas. Depure Leo Si usted socilita ayuda, hay oportunidades que necesitamos preguntar para un rsyslog depuran leo. Lo depura leo es un informe del detailled de lo que el rsyslog hace durante procesar. Per se, aun puede ser til para su localizacin de fallas muy propia. Las personas han visto cosas adentro su depura leo tan habilitado a ellas para encontrar problemas que no vieron antes. As echando una mirada en lo depura que el leo, se empareja antes de socilitando ayuda, puede ser til. Note que lo depura leo contiene la mayor parte de esas cosas que consideramos til. Esto abunda la informacin, pero todava puede ser demasiado pocos. As es que algunas veces puede resultar que usted recibir instrucciones de dirigir una versin especfica que tiene adicional depure salida. Tambin, revisamos de vez en cuando lo que vale colocacin en el estndar depura leo. Per se, el contenido del leo puede alterarse de versin para la versin. No fiamos a cualquier especfico depuran contenidos del leo, as es que no confe en eso. La cantidad de depura tala forestal tambin puede controlarse por algunas opciones del ambiente. Por favor vea depurar soporte para ms detalles. En general, es aconsejable dirigir rsyslogd en primer plano a obtener el leo. Para hacer eso, asegurarse que usted sabe cules opciones es usualmente usado cuando usted echa a andar rsyslogd como un demonio de fondo. Asumamos "- c3" es la nica opcin usada. Luego, haga lo siguiente: Haga rsyslogd seguro como un demonio sea detenido (asegrese con ps - ef grep rsyslogd) Asegrese que usted tiene una sesin de la consola con permisos de la raz Dirija rsyslogd interactivamente: / el sbin/rsyslogd..Sus opciones.. - Dn logfile Donde "sus opciones" son lo que usted usualmente usa. / el sbin/rsyslogd es el camino lleno para el rsyslogd binario (la posicin diferente a merced de distro). En nuestro caso, la orden sera /sbin/rsyslogd - c3 - dn logfile Presione ctrl-C cuando usted tiene suficientes datos (por ejemplo un dispositivo puso en bitcora un registro) NOTA: El rsyslogd no se detendr automticamente - usted necesita para ctrl-c fuera de l! Una vez que usted ha hecho tan, usted puede revisar logfile. Contiene lo depura salida.

Cuando usted est hecho, se asegura que usted refaculta a (y el principio) el demonio de fondo! Si usted necesita someter al logfile, entonces usted puede querer inspeccionar si contiene cualquier contraseas u otros datos sensitivos. Si hace, entonces usted se lo puede cambiar para algn valor sin sentido coherente. No suprima las lneas, como esto primeras capas de enlucido lo depuran leo inutilizable (y el Rainente de marcas muy enojado pues el tiempo desaprovechado, aka significativamente reduce la oportunidad que l permanecer motivado para mirar en su problema;)). Por la misma razn, haga seguro lo que fuere que usted se altera es cambio consistentemente. Realmente! Depure archivo del leo puede agrandarse realmente. Antes de someterlos, es una buena idea cerrarlos con zpper. El Rainente ha maniobrado archivos de alrededor de 1 para 2 GB. Si su es precio de venta mayor antes de someter. A menudo, es someter las primeras 2,000 lneas del archivo del leo y alrededor de otro 1,000 alrededor del rea donde usted ve un problema. Tambin, pregntele pueda someter un archivo por correo privado. El correo privado es usualmente una buena forma para ir por archivos o archivos grandes con contenido sensitivo. Sin embargo, no enve nada sensitiva que usted no quiera que el exterior sea sabido. Mientras el Rainente hasta ahora hizo el esfuerzo ningn para filtrarse cualquier informacin sensitiva, all no es afianzamiento que no ocurre. Si usted necesita un afianzamiento, entonces usted debe de ser a un candidato para un contrato comercial del soporte. El soporte gratis viene sin cualquier afianzamientos, no incluya afianzamiento en la confidencialidad [aka " we don 't want to be sued for work were are not even paid for ; ) ]. As es que si usted se somete depure leos, entonces haga eso en su riesgo exclusivo. Sometindolos, usted acepte esta poltica. El archivo de configuracin del rsyslog.conf Este documento est actualmente siendo realzado. Por favor perdone su apariencia actual. Rsyslogd es configurado por el archivo del rsyslog.conf, tpicamente encontrado adentro / etc. Por defecto, rsyslogd lee el / rsyslog.conf del archivo /etc. Esto puede variarse por una opcin de la lnea de comando. Los ejemplos del archivo de configuracin pueden ser encontrados en el rsyslog wiki. Hay tambin un archivo de muestra provisto conjuntamente con el set de la documentacin. Si a usted no le gusta ley, tener la certeza de tener al menos una apariencia rpida en rsyslogexample.conf. Mientras el rsyslogd contiene realces sobre syslogd estndar, los esfuerzos han estado hechos para conservar el archivo de configuracin tan compatibles como posible. Mientras, para las razones obvias, las caractersticas realzadas precisan una sintaxis diferente del archivo del config, rsyslogd debera poder trabajar con un archivo estndar del syslog.conf. Esto es especialmente til mientras usted emigra de syslogd para rsyslogd. Los mdulos Las lneas Las lneas pueden ser continuadas especificando una barra inversa () como el ltimo carcter de la lnea. Hay un largo mximo de cdigo duro de la lnea de 4K. Si usted necesita lneas ms grande que eso, entonces usted necesite cambiar trasfondos de fases de compilacin dentro de rsyslog y recompilar. Las Directivas De Configuracin La Estructura Bsica Rsyslog soporta estndar el formato del archivo de configuracin de sysklogd y lo extiende. Tan en general, usted puede llevar a un syslog.conf "normal" y lo puede usar conjuntamente con rsyslogd. Entender todo. Sin embargo, para usar la mayor parte de las caractersticas nicas de

rsyslogd, usted necesita aadir directivas extendidas de configuracin. Rsyslogd soporta las lneas clsicas, basadas en selectores de regla. Estn todava en el corazn de eso y todo las acciones son iniciadas por lneas de regla. Una regla aplica delineador a no es cualquier lnea comenzando con un $ o el signo del comentario (#). Aplica delineador a comenzar con directivas de rsyslog-specific de arrastre del $. Cada lnea de regla consta de dos campos, un campo del selector y un campo de accin. Estos dos campos son a los que se puso aparte a las un o ms espacios o etiquetas. El campo del selector especifica un patrn de instalaciones y las prioridades formando parte de la accin especificada. Aplica delineador a comenzar con una marca del picadillo ("# ' ') y las lneas vacas estn ignoradas. Las plantillas Los Canales De Salida Las Condiciones Del Filtro Las acciones Los ejemplos Aqu usted encontrar ejemplos para plantillas y las lneas del selector. Espero que sean obvios. En caso de que no, por favor vea www.monitorware.com/rsyslog / para aconseje. Las Diferencias De Sintaxis Del Archivo De Configuracin Rsyslogd usa una sintaxis ligeramente diferente para su archivo de configuracin que las fuentes originales de Distribucin De Software De Berkeley. Originalmente todos los mensajes de una prioridad especfica y arriba hubo reenviado para el archivo del leo. Los modificadores '," y ! "- ' ' se agreg para hacerlo ms flexible rsyslogd y usarlo en una manera ms intuitiva. El syslogd original de Distribucin De Software De Berkeley no entiende espacios como separadores entre el selector y el campo de accin. Estando comparado para syslogd de paquete del sysklogd, rsyslogd ofrece caractersticas adicionales (guste el soporte de plantilla y de la base de datos). Para las razones obvias, la sintaxis para definir tales caractersticas est disponible en rsyslogd, nica. El Reemplazador De La Propiedad El reemplazador de la propiedad es un componente de fondo en el sistema de salida de rsyslogd. Un mensaje del syslog tiene un nmero de propiedades bien definidas (vea debajo). Cada uno de esto las propiedades pueden ser a las que se gan acceso y manipuladas por el reemplazador de la propiedad. Con eso, es fcil usar slo en parte de un valor de la propiedad o manipular el valor, por ejemplo convirtiendo todos los personajes para aminorar caso. Ganando acceso a Properties Las propiedades de mensaje Syslog son usadas dentro de plantillas. Son a los que se gan acceso ponindolos entre signos de por ciento. Las propiedades pueden ser modificadas por el reemplazador de la propiedad. La sintaxis completa es como sigue: El %propname:El fromChar:El toChar:El % de opciones Las Propiedades Disponibles El propname es el nombre de la propiedad al que ganar acceso. Es insensible en caso (antes de 3.17.0, fueron case-senstive). Actualmente soportado es:

msg the MSG part of the message (aka "the message" ;)) rawmsg the message excactly as it was received from the socket. Should be useful for debugging. hostname hostname from the message source alias for HOSTNAME fromhost hostname of the system the message was received from (in a relay chain, this is the system immediately in front of us and not necessarily the original sender). This is a DNS-resolved name, except if that is not possible or DNS resolution has been disabled. fromhost-ip The same as fromhost, but alsways as an IP address. Local inputs (like imklog) use 127.0.0.1 in this property. syslogtag TAG from the message programname the "static" part of the tag, as defined by BSD syslogd. For example, when TAG is "named[12345]", programname is "named". pri PRI part of the message - undecoded (single value) pri-text the PRI part of the message in a textual form (e.g. "syslog.info") iut the monitorware InfoUnitType - used when talking to a MonitorWare backend (also for phpLogCon) syslogfacility the facility from the message - in numerical form syslogfacility-text the facility from the message - in text form syslogseverity severity from the message - in numerical form syslogseverity-text severity from the message - in text form syslogpriority an alias for syslogseverity - included for historical reasons (be careful: it still is the severity, not PRI!) syslogpriority-text an alias for syslogseverity-text timegenerated timestamp when the message was RECEIVED. Always in high resolution timereported timestamp from the message. Resolution depends on what was provided in the message (in most cases, only seconds) timestamp alias for timereported protocol-version The contents of the PROTCOLVERSION field from IETF draft draft-ietf-syslog-protcol structured-data The contents of the STRUCTURED-DATA field from IETF draft draft-ietf-syslog-protocol app-name The contents of the APP-NAME field from IETF draft draft-ietf-syslog-protocol procid The contents of the PROCID field from IETF draft draft-ietf-syslog-protocol msgid The contents of the MSGID field from IETF draft draft-ietf-syslog-protocol inputname The name of the input module that generated the message (e.g. "imuxsock", "imudp"). Note that not all modules necessarily provide this property. If not provided, it is an empty string. Also note that the input module may provide any value of its liking. Most importantly, it is not necessarily the module input name. Internal sources can also provide inputnames. Currently, "rsyslogd" is defined as inputname for messages internally generated by rsyslogd, for example startup and shutdown and error messages. This property is considered useful when trying to filter messages based on where they originated - e.g. locally generated messages ("rsyslogd", "imuxsock", "imklog") should go to a different place than messages generated somewhere. $now The current date stamp in the format YYYY-MM-DD $year The current year (4-digit) $month The current month (2-digit) $day The current day of the month (2digit) $hour The current hour in military (24 hour) time (2-digit) $hhour The current half hour we are in. From minute 0 to 29, this is always 0 while from 30 to 59 it is always 1. $qhour The current quarter hour we are in. Much like $HHOUR, but values range from 0 to 3 (for the four quater hours that are in each hour) $minute The current minute (2-digit) $myhostname The name of the current host as it knows itself (probably useful for filtering in a generic way) Properties starting with a $-sign are so-called system properties. These do NOT stem from the message but are rather internally-generated. Character Positions FromChar and toChar are used to build substrings. They specify the offset within the string that should be copied. Offset counting starts at 1, so if you need to obtain the first 2 characters of the message text, you can use this syntax: "%msg:1:2%". If you do not whish to specify from and to, but you want to specify options, you still need to include the colons. For example, if you would like to convert the full message text to lower case, use "%msg:::lowercase%". If you would like to extract from a position until the end of the string, you can place a dollar-sign ("$") in toChar (e.g. %msg:10:$%, which will extract from position 10 to the end of the string). There is also support for regular expressions. To use them, you need to place a "R" into FromChar. This tells rsyslog that a regular expression instead of position-based extraction is desired. The actual regular expression must then be provided in toChar. The regular expression must be followed by the string "--end". It denotes the end of the regular expression and will not become part of it. If you are using regular expressions, the property replacer will return the part of the property text that matches the regular expression. An example for a property replacer

sequence with a regular expression is: "%msg:R:.*Sev:. \(.*\) \[.*--end%" It is possible to specify some parametes after the "R". These are comma-separated. They are: R,<regexp-type>,<submatch>,<nomatch>,<match-number> regexp-type is either "BRE" for Posix basic regular expressions or "ERE" for extended ones. The string must be given in upper case. The default is "BRE" to be consistent with earlier versions of rsyslog that did not support ERE. The submatch identifies the submatch to be used with the result. A single digit is supported. Match 0 is the full match, while 1 to 9 are the acutal submatches. The match-number identifies which match to use, if the expression occurs more than once inside the string. Please note that the first match is number 0, the second 1 and so on. Up to 10 matches (up to number 9) are supported. Please note that it would be more natural to have the match-number in front of submatch, but this would break backward-compatibility. So the match-number must be specified after "nomatch". nomatch specifies what should be used in case no match is found. The following is a sample of an ERE expression that takes the first submatch from the message string and replaces the expression with the full field if no match is found: %msg:R,ERE,1,FIELD:for (vlan[0-9]*):--end% and this takes the first submatch of the second match of said expression: %msg:R,ERE,1,FIELD,1:for (vlan[0-9]*):--end% Please note: there is also a rsyslog regular expression checker/generator online tool available. With that tool, you can check your regular expressions and also generate a valid property replacer sequence. Usage of this tool is recommended. Depending on the version offered, the tool may not cover all subleties that can be done with the property replacer. It concentrates on the most often used cases. So it is still useful to hand-craft expressions for demanding environments. Also, extraction can be done based on so-called "fields". To do so, place a "F" into FromChar. A field in its current definition is anything that is delimited by a delimiter character. The delimiter by default is TAB (US-ASCII value 9). However, if can be changed to any other US-ASCII character by specifying a comma and the decimal US-ASCII value of the delimiter immediately after the "F". For example, to use comma (",") as a delimiter, use this field specifier: "F,44". If your syslog data is delimited, this is a quicker way to extract than via regular expressions (actually, a *much* quicker way). Field counting starts at 1. Field zero is accepted, but will always lead to a "field not found" error. The same happens if a field number higher than the number of fields in the property is requested. The field number must be placed in the "ToChar" parameter. An example where the 3rd field (delimited by TAB) from the msg property is extracted is as follows: "%msg:F:3%". The same example with semicolon as delimiter is "%msg:F,59:3%". Please note that the special characters "F" and "R" are case-sensitive. Only upper case works, lower case will return an error. There are no white spaces permitted inside the sequence (that will lead to error messages and will NOT provide the intended result). Each occurence of the field delimiter starts a new field. However, if you add a plus sign ("+") after the field delimiter, multiple delimiters, one immediately after the others, are treated as separate fields. This can be useful in cases where the syslog message contains such sequences. A frequent case may be with code that is written as follows: int n, m; ... syslog(LOG_ERR, "%d test %6d", n, m); This will result into things like this in syslog messages: "1 test 2", "1 test 23", "1 test 234567" As you can see, the fields are delimited by space characters, but their exact number is unknown. They can properly be extracted as follows: "%msg:F,32:2%" to "%msg:F,32+:2%". This feature was suggested by Zhuang Yuyao and implemented by him. It is modeled after perl compatible regular expressions. Property Options property options are case-insensitive. Currently, the following options are defined: This feature was introduced in rsyslog 4.6.2 and v4 versions above and 5.5.3 and all versions above.

uppercase lowercase csv

convert property to lowercase only convert property text to uppercase only formats the resulting field (after all modifications) in CSV format as specified in RFC 4180. Rsyslog will always use double quotes. Note that in order to have full CSVformatted text, you need to define a proper template. An example is this one: $template csvline,"%syslogtag:::csv%,%msg:::csv%" Most importantly, you need to provide the commas between the fields inside the template. This feature was introduced in rsyslog 4.1.6. drop-last-lf The last LF in the message (if any), is dropped. Especially useful for PIX. date-mysql format as mysql date date-rfc3164 format as RFC 3164 date date-rfc3164- similar to date-rfc3164, but emulates a common coding error: RFC 3164 demands buggyday that a space is written for single-digit days. With this option, a zero is written instead. This format seems to be used by syslog-ng and the date-rfc3164-buggyday option can be used in migration scenarios where otherwise lots of scripts would need to be adjusted. It is recommended not to use this option when forwarding to remote hosts they may treat the date as invalid (especially when parsing strictly according to RFC 3164). date-rfc3339 format as RFC 3339 date datejust the subseconds of a timestamp (always 0 for a low precision timestamp) subseconds escape-cc replace control characters (ASCII value 127 and values less then 32) with an escape sequence. The sequnce is "#<charval>" where charval is the 3-digit decimal value of the control character. For example, a tabulator would be replaced by "#009". Note: using this option requires that $EscapeControlCharactersOnReceive is set to off. space-cc replace control characters by spaces Note: using this option requires that $EscapeControlCharactersOnReceive is set to off. drop-cc drop control characters - the resulting string will neither contain control characters, escape sequences nor any other replacement character like space. Note: using this option requires that $EscapeControlCharactersOnReceive is set to off. sp-if-no-1st- This option looks scary and should probably not be used by a user. For any field sp given, it returns either a single space character or no character at all. Field content is never returned. A space is returned if (and only if) the first character of the field's content is NOT a space. This option is kind of a hack to solve a problem rooted in RFC 3164: 3164 specifies no delimiter between the syslog tag sequence and the actual message text. Almost all implementation in fact delemit the two by a space. As of RFC 3164, this space is part of the message text itself. This leads to a problem when building the message (e.g. when writing to disk or forwarding). Should a delimiting space be included if the message does not start with one? If not, the tag is immediately followed by another non-space character, which can lead some log parsers to misinterpret what is the tag and what the message. The problem finally surfaced when the klog module was restructured and the tag correctly written. It exists with other message sources, too. The solution was the introduction of this special property replacer option. Now, the default template can contain a conditional space, which exists only if the message does not start with one. While this does not solve all issues, it should work good enough in the far majority of all cases. If you read this text and have no idea of what it is talking about - relax: this is a good indication you will never need this option. Simply forget about it ;)

secpath-drop Drops slashes inside the field (e.g. "a/b" becomes "ab"). Useful for secure pathname generation (with dynafiles). secpathReplace slashes inside the field by an underscore. (e.g. "a/b" becomes "a_b"). replace Useful for secure pathname generation (with dynafiles). To use multiple options, simply place them one after each other with a comma delmimiting them. For example "escape-cc,sp-if-no-1st-sp". If you use conflicting options together, the last one will override the previous one. For example, using "escape-cc,drop-cc" will use drop-cc and "dropcc,escape-cc" will use escape-cc mode. Further Links Article on "Recording the Priority of Syslog Messages" (describes use of templates to record severity and facility of a message) Configuration file syntax, this is where you actually use the property replacer.