我有一对sonicwall设备指向一个rsyslog(v4.6.2)实例,这些实例明显地将它们的消息格式化为mysql插件。
rsyslog实例logging其他设备没有问题(linux服务器和一些交换机),但sonicwall设备的消息部分回来
$ msg INVALID PROPERTY NAME
消息的其余部分正确logging(时间,来源,设施等)
看看rsyslogdebugging日志,我看到这个消息的收件人
时间戳:调用操作,logging到ommysql.so
时间戳:无效的属性ID:“0”
如果我也login到推荐的“debugging”模板(基于文件),结果类似于以下内容:
FROM主机:'XXXX',HOSTNAME:'Real Hostname',PRI:129,syslogtag'id = firewall',程序名:'id = firewall',APP-NAME:'id = firewall',PROCID:' – ',MSGID: ' – ',
TIMESTAMP:'Jan 31 14:10:12',STRUCTURED-DATA:' – ',
msg:'sn = 0017C5272ED0 time =“2012-01-31 14:10:13”fw = XXXX pri = 1 c = 32 m = 608 msg =“IPS
检测警报:INFO SNMP访问(UDP)“sid = 748 ipscat = INFO ipspri = 3 n = 0 src = XXXX:LAN:DNS_NAME dst = XXXX:161:PRINTERS:'
“IPS检测警报:INFO SNMP(UDP)”是一种非常有效的方法, “sid = 748 ipscat = INFO ipspri = 3 n = 0 src = XXXX:1052:LAN:DNS_NAME dst = XXXX:161:PRINTERS:'
rsyslog现在是版本6.3.3,但我找不到任何确认我的问题在更高版本中得到纠正。
如果可能的话,我想坚持从centos的官方RPM,但是“debugging模板”看起来好,导致我相信这是一个与MySQL插件的问题,升级可能是我唯一的select。
在我走这条路线之前,有任何想法,如果这是我可以通过改变我使用的模板或我错过的其他设置来纠正?
在sql模板中有一个input错误,$ msg%而不是%msg%; rsyslog试图告诉我,我甚至引用了我原来的问题。