Я пытаюсь нормализовать журналы, используя Rsyslog и Liblognorm 1.1.2.Ниже приведен пример журнала.
device = "DFW" date = 2018-10-22 time = 09: 47: 54 часовой пояс = "+ 0500" device_name = "XG135w" device_id = C1B2A74WA2X6C6F log_id =010101600001 log_type = "Брандмауэр" log_component = "Правило брандмауэра" log_subtype = "Разрешено" status = «Разрешить» приоритет = длительность информации = 30 fw_rule_id = 1 policy_type = 1 user_name = "" user_gp = "" iap = 0 ips_policy_id = 0 appfilter_policy = 0 appfilter_policy =0 application = "DNS" application_risk = 1 application_technology = "Сетевой протокол" application_category = "Инфраструктура" in_interface = "Port1" out_interface = "Port3" src_mac = 00: 0:00: 0:00: 0 src_ip = 172.16.0.1 src_country_code =R1 dst_ip = 8.8.4.4 dst_country_code = протокол США = "UDP" src_port = 12824 dst_port = 53 sent_pkts = 1 recv_pkts = 1 sent_bytes = 79 recv_bytes = 107 tran_src_ip = 20.55.69.72 tran_src_port = 0 tran_dst_ip_s_____t_t_n_t_d_zonsrczone = "LAN" dstzonetype = "WAN" dstzone = "WAN" dir_disp = "" connevent = "Stop" connid = "7456740608" vconnid = "" hb_health = "No Heartbeat" message = "" appresolvedby = "Подпись" app_is_cloud = 0
Из того, что я знаю, правило, написанное с использованием liblognorm, должно соответствовать входному слову журнала в слово.Я знаю, что могу использовать «% -: rest», чтобы пропустить точку до конца журнала.Но я хочу иметь возможность пропустить среднюю часть журнала, а затем продолжить писать правило для остальной части журнала.Это возможно?Любая помощь будет оценена.Благодарю.