Syslog 配置
這裡說明 Insight ® Pack 的配置,供使用者參考。
rsyslog 需求
在汲取 rsyslog 日誌檔之前,必須同時配置 rsyslog 及 IBM® Operations Analytics Log Analysis ,以確保 rsyslog 日誌檔的輸出格式可由 IBM Operations Analytics Log Analysis Syslog Insight 套件處理。 Syslog_custom 來源類型可配置 rsyslog 檔案。
將 scalaLogFormat 範本新增至 rsyslog:
- 若為可支援清單格式的 rsyslog 7 和更新版本:
- 開啟 /etc/rsyslog.conf 以進行編輯。
- 新增下列範本:
template(name="scalaLogFormat" type="list") { property(name="timestamp" dateFormat="rfc3339") constant(value=" host=") property(name="hostname") constant(value=", relayHost=") property(name="fromhost") constant(value=", tag=") property(name="syslogtag") constant(value=", programName=") property(name="programname") constant(value=", procid=") property(name="procid") constant(value=", facility=") property(name="syslogfacility-text") constant(value=", sev=") property(name="syslogseverity-text") constant(value=", appName=") property(name="app-name") constant(value=", msg=") property(name="msg" ) constant(value="\n") }所產生的日誌記錄會格式化為
2013-07-15T21:30:37.997295-04:00 host=co052065, relayHost=co052065, tag=rhnsd[12171]:, programName=rhnsd, procid=12171, facility=daemon, sev=debug, appName=rhnsd, msg= running program /usr/sbin/rhn_check - 將 scalaLog格式範本與要由 IBM Operations Analytics Log Analysis吸收的日誌檔相關聯。 除了配置檔中的任何其他關聯之外,它還會將所有日誌項目記載至 <filename> 。 例如:
*.* /var/log/<filename>.log;scalaLogFormat - 重新啟動 rsyslog 常駐程式。
如需重新啟動 rsyslog 常駐程式的相關資訊,請參閱 http://rsyslog.com/doc。
- 確保 IBM Operations Analytics Log Analysis 使用者可以讀取為 IBM Operations Analytics Log Analysis 建立的輸出檔,並將該檔案直接寫入至受監視日誌來源目錄。
例如:
*.* <HOME>/logsources/SyslogInsightPack SCALA.log;scalaLogFormat
- 若為 rsyslog 7 以下的版本:
- 開啟 /etc/rsyslog.conf 以進行編輯。
- 新增下列範本(舊格式):
$template scalaLogFormat,"%TIMESTAMP:::date-rfc3339% host=%HOSTNAME%, relayHost=%FROMHOST%, tag=%syslogtag%, programName=%programname%, procid=%PROCID%, facility=%syslogfacility-text%, sev=%syslogseverity-text%, appName=%APP-NAME%, msg=%msg%\n"所產生的日誌記錄會格式化為
2013-07-15T21:30:37.997295-04:00 host=co052065, relayHost=co052065, tag=rhnsd[12171]:, programName=rhnsd, procid=12171, facility=daemon, sev=debug, appName=rhnsd, msg= running program /usr/sbin/rhn_check - 將 scalaLog格式範本與要由 IBM Operations Analytics Log Analysis吸收的日誌檔相關聯。 除了配置檔中的任何其他關聯之外,它還會將所有日誌項目記載至 <filename> 。 例如:
*.* /var/log/<filename>.log;scalaLogFormat - 重新啟動 rsyslog 常駐程式。
如需重新啟動 rsyslog 常駐程式的相關資訊,請參閱 http://rsyslog.com/doc。
- 確保 IBM Operations Analytics Log Analysis 使用者可以讀取為 IBM Operations Analytics Log Analysis 建立的輸出檔,並將該檔案直接寫入至受監視日誌來源目錄。
例如:
*.* <HOME>/logsources/SyslogInsightPack SCALA.log;scalaLogFormat
如需 rsyslog 配置檔的相關資訊,請參閱: http://www.rsyslog.com/doc/rsyslog_conf.html
配置構件
下表列出針對每個日誌檔隨附於「Insight 套件」的配置構件。
| 構件 | syslog 日誌的名稱 |
|---|---|
| 分割器規則集 | Syslog-Split |
| 註解程式規則集 | Syslog-Annotate |
| 來源類型 | Syslog_custom |
| 集合 | Syslog-Collection1 |
| 構件 | syslog 日誌的名稱 |
|---|---|
| 分割器檔案集 | DefaultSyslogSplitter |
| 註解程式檔案集 | DefaultSyslogAnnotator |
| 來源類型 | Syslog_default |
附註: 資料來源未預先定義。 具有管理者專用權的使用者必須定義至少一個 syslog 資料來源類型和集合,才能使用應用程式。
Log File Agent 配置
支援的日誌檔會共用 IBM Tivoli® Monitoring 日誌檔代理程式 (LFA) 配置檔。 下列 LFA 配置檔位於 <HOME>/IBM-LFA-6.30/config/lo 目錄中 (其中 <HOME> 是 IBM Operations Analytics Log Analysis的安裝位置):
- SyslogInsightPack-lfasyslog.conf:syslog Log File Agent 的配置檔。
- SyslogInsightPack-lfasyslog.fmt:比對 syslog 日誌檔的記錄。
分割及註釋 AQL 模組
分割及註釋由下列「註釋查詢語言 (AQL)」模組處理。 Syslog_custom 會使用 AQL 型分割器和註解程式。
| AQL 模組 | 說明 |
|---|---|
common |
跨多個 Insight 套件使用的通用代碼模組(例如,用來辨識時間戳記格式)。 |
dateTimeSplitter newlineSplitter |
適用於 syslog 日誌檔的分割器模組。 |
annotatorSyslog |
適用於 syslog 日誌檔的註解程式模組。 |