如何在rsyslog中只从常规日志中插入mac地址?

时间:2015-08-01 11:18:27

标签: mysql regex rsyslog

你好如何只插入这样的mac地址' 22:22:22:22:22:22'从常规日志?

我的rsyslog模板:

$template fw,"insert into fw(Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag, EventID) values ('%msg%', %syslogfacility%,'%fromhost%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%', '123')",SQL

我尝试使用这样的正则表达式,但我只得到字符串" src-mac"在mysql表中

%msg:R,ERE,0,FIELD:src-mac--end%

log text msg是这样的:

Pay: srcnat: in:(none) out:wan, src-mac 22:22:22:22:22:22, 
proto TCP (SYN), 10.5.50.100:1111->111.11.111.11:443, len 52

1 个答案:

答案 0 :(得分:0)

摄取数据的标准策略是在执行INSERT之前以某种应用程序语言“清理”它。

除非你有使用regexp_replace()的MariaDB,否则SQL中没有简单的方法可以选择mac地址。

相关问题
最新问题