ListenSyslog 2025.5.31.15

Bundle

org.apache.nifi | nifi-standard-nar

Beschreibung

Hört auf Syslog-Meldungen, die über TCP oder UDP an einen bestimmten Port gesendet werden. Eingehende Meldungen werden mit regulären Ausdrücken auf Meldungen im Format RFC5424 und RFC3164 geprüft. Das Format jeder Meldung ist: (<PRIORITY>)(VERSION )(TIMESTAMP) (HOSTNAME) (BODY), wobei die Version optional ist. Der Zeitstempel kann ein RFC5424-Zeitstempel mit dem Format „yyyy-MM-dd’T’HH: mm:ss.SZ“ oder „yyyy-MM-dd’T’HH: mm:ss.S+hh:mm“ sein, oder er kann ein RFC3164-Zeitstempel mit dem Format „MMM d HH: mm:ss“ sein. Wenn eine eingehende Meldung mit einem dieser Muster übereinstimmt, wird die Meldung geparst und die einzelnen Teile werden in FlowFile-Attributen abgelegt, wobei die ursprüngliche Meldung im Inhalt des FlowFile enthalten ist. Wenn eine eingehende Meldung keinem dieser Muster entspricht, wird sie nicht geparst und das Attribut syslog.valid wird auf „false“ gesetzt, wobei die ursprüngliche Meldung im Inhalt des FlowFile verbleibt. Gültige Meldungen werden an die Beziehung „success“ übertragen, ungültige Meldungen in die Beziehung „invalid“.

Tags

listen, logs, syslog, tcp, udp

Eingabeanforderung

FORBIDDEN

Unterstützt sensible dynamische Eigenschaften

false

Eigenschaften

Eigenschaft

Beschreibung

Zeichensatz

Gibt den Zeichensatz der Syslog-Meldungen an. Beachten Sie, dass Expression Language nicht pro FlowFile ausgewertet wird.

Client Auth

Die Client-Authentifizierungsrichtlinie, die für den SSL-Kontext verwendet werden soll. Wird nur verwendet, wenn ein SSL Context Service bereitgestellt wird.

Local Network Interface

Der Name einer lokalen Netzwerkschnittstelle, die verwendet werden soll, um das Abhören auf ein bestimmtes LAN zu beschränken.

Max Batch Size

Die maximale Anzahl von Syslog-Ereignissen, die zu einem einzelnen FlowFile hinzugefügt werden können. Wenn mehrere Ereignisse verfügbar sind, werden sie zusammen mit dem <Message Delimiter> bis zu dieser konfigurierten maximalen Anzahl von Meldungen verkettet

Max Number of TCP Connections

Die maximale Anzahl gleichzeitiger Verbindungen zur Annahme von Syslog-Meldungen im TCP-Modus .

Max Size of Message Queue

Die maximale Größe der internen Warteschlange, die zum Puffern von Meldungen verwendet wird, die vom zugrunde liegenden Kanal zum Prozessor übertragen werden. Wenn dieser Wert höher eingestellt ist, können bei einem Anstieg der eingehenden Meldungen mehr Meldungen im Speicher gepuffert werden, aber der vom Prozessor insgesamt belegte Speicher wird größer.

Max Size of Socket Buffer

Die maximale Größe des Socket-Puffers, der verwendet werden soll. Dies ist ein Vorschlag an das Betriebssystem, wie groß der Socket-Puffer sein soll. Wenn dieser Wert zu niedrig eingestellt ist, kann der Puffer voll werden, bevor die Daten gelesen werden können, und eingehende Daten gehen verloren.

Message Delimiter

Gibt das Trennzeichen an, das zwischen Syslog-Meldungen gesetzt wird, wenn mehrere Meldungen gebündelt werden (siehe <Max Batch Size> ).

Parse Messages

Gibt an, ob der Prozessor die Syslog-Meldungen analysieren soll. Bei der Einstellung „false“ enthält jedes ausgehende FlowFile nur den Absender, das Protokoll und den Port, aber keine weiteren Attribute.

Port

Der Port für die Syslog-Kommunikation. Beachten Sie, dass Expression Language nicht pro FlowFile ausgewertet wird.

Protokoll

Das Protokoll für die Syslog-Kommunikation.

Receive Buffer Size

Die Größe der einzelnen Puffer, die für den Empfang von Syslog-Meldungen verwendet werden. Passen Sie diesen Wert entsprechend der erwarteten Größe der eingehenden Syslog-Meldungen an. Wenn UDP ausgewählt ist, fasst jeder Puffer eine Syslog-Meldung zusammen. Wenn TCP ausgewählt ist, werden Meldungen von einer eingehenden Verbindung gelesen, bis der Puffer voll ist oder die Verbindung geschlossen wird.

SSL Context Service

Der Controller Service, der verwendet werden soll, um einen SSL Context zu erhalten. Wenn diese Eigenschaft eingestellt ist, werden die Syslog-Meldungen über eine sichere Verbindung empfangen.

socket-keep-alive

Ob für den TCP Socket „Keep alive“ aktiviert sein soll oder nicht. Die Zeitangaben hängen von den Eigenschaften des Betriebssystems ab.

Beziehungen

Name

Beschreibung

invalid

Syslog-Meldungen, die nicht einem der erwarteten Formate entsprechen, werden in dieser Beziehung als FlowFile pro Meldung versendet.

success

Syslog-Meldungen, die einem der erwarteten Formate entsprechen, werden über diese Beziehung als FlowFile pro Meldung weitergeleitet.

Schreibt Attribute

Name

Beschreibung

syslog.priority

Die Priorität der Syslog-Meldung.

syslog.severity

Der Schweregrad der Syslog-Meldung wird aus der Priorität abgeleitet.

syslog.facility

Die Facility der Syslog-Meldung wird aus der Priorität abgeleitet.

syslog.version

Die optionale Version aus der Syslog-Meldung.

syslog.timestamp

Der Zeitstempel der Syslog-Meldung.

syslog.hostname

Der Hostname oder die IP-Adresse der Syslog-Meldung.

syslog.sender

Der Hostname des Syslog-Servers, der die Meldung gesendet hat.

syslog.body

Der Text der Syslog-Meldung, alles nach dem Hostnamen.

syslog.valid

Ein Indikator dafür, ob diese Meldung den erwarteten Formaten entsprach. Wenn dieser Wert „false“ ist, sind die anderen Attribute leer und nur die ursprüngliche Meldung ist im Inhalt verfügbar.

syslog.protocol

Das Protokoll, über das die Syslog-Meldung empfangen wurde.

syslog.port

Der Port, über den die Syslog-Meldung empfangen wurde.

mime.type

Der „mime.type“ des FlowFile, der für Syslog-Meldungen „text/plain“ sein wird.

Siehe auch: