로컬 rsyslog의 로그를 중앙 rsyslog로 전달한 다음 Elasticsearch로 전달합니다. 모든 것이 잘 작동하지만 errorrsyslog 자체에서 생성된 심각도 항목에는 또는 와 programname같은 속성이 있어 Elasticsearch의 집계가 중단됩니다. 이 수치에서는 정보를 찾을 수 없습니다. 무작위도 아니고 PID도 아닙니다.rsyslog-2222rsyslog-2039
rsyslog가 이 작업을 수행하는 이유는 무엇입니까?
이 숫자를 rsyslog 수준에서 제거할 수 있습니까?
로그 예:
2019-08-07T19:48:00+02:00 rsyslogd-2039 err Could not open output pipe '/dev/xconsole':: No such file or directory [v8.16.0 try http://www.rsyslog.com/e/2039 ]
2019-08-07T19:48:00+02:00 rsyslogd-2007 warning action 'action 10' suspended, next retry is Wed Aug 7 19:48:30 2019 [v8.16.0 try http://www.rsyslog.com/e/2007 ]
2019-08-07T19:00:39+02:00 rsyslogd-2222 err command 'KLogPermitNonKernelFacility' is currently not permitted - did you already set it via a RainerScript command (v6+ config)? [v8.16.0 try http://www.rsyslog.com/e/2222 ]
2019-08-07T19:00:39+02:00 rsyslogd-2039 err Could not open output pipe '/dev/xconsole':: No such file or directory [v8.16.0 try http://www.rsyslog.com/e/2039 ]
2019-08-07T19:00:39+02:00 rsyslogd-2007 warning action 'action 10' suspended, next retry is Wed Aug 7 19:01:09 2019 [v8.16.0 try http://www.rsyslog.com/e/2007 ]
답변1
속성은 programname구문 분석을 통해 생성됩니다 syslogtag. 매우 표준화된 것처럼 보이지 는 않습니다 syslogtag. 내 경우에는 app-nameIETF 초안 Draft-ietf-syslog-protocol의 필드인 prop을 사용하는 것이 더 좋습니다 . 방금 바꿨어
property(name="programname")
그리고
property(name="app-name")
지금까지는 더 이상 이상한 프로그램 이름이 없습니다.
답변2
rsyslogd-2039귀하의 예를 보면 번호에 오류 번호가 있는 것 같습니다. 이것이 어디에 문서화되어 있는지 찾을 수 없습니다. 대체 필드를 사용하는 정답을 이미 찾았지만, 완전성을 위해 첫 번째 하이픈( "-")에서 프로그램 이름을 자르는 방법은 다음과 같습니다. 당신은 그것을 사용할 수 있습니다부동산 대체품필드가 10진수 코드 45(ASCII 하이픈) 문자로 구분되는 필드 1을 선택합니다.
%programname:F,45:1%