OpenForum RSS: Rsyslog парсинг CEF логов и занесение в БД. https://opennet.ru/openforum/vsluhforumID1/98084.html Доброго времени суток!<br>Задача в общем смысле стоит следующем - принимать логи в CEF формате и заносить в бд, но ещё до сохранения в БД возникают проблемы.<br>При приёме и сохранении в файл как RemoteLogs стандартным способом - <br><br>$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"<br>*.* ?RemoteLogs<br>& stop<br><br>Rsyslogd видимо применяет встроенный шаблон парсинга и сохраняет вот в таком виде(обрезал с конца)<br><br>2025-12-01T15:38:07-05:00 RIO-DZ-16-N1 CEF: 0&#124;R&K&#124;DEZ7000 V2&#124;2.3.4-55&#124;16&#124;Opisanie signatury etc&#124;10&#124;devId=55567 start=1764592626000<br><br>То есть он парсит участок "CEF:" видимо как %syslogtag% и вставляет пробел после него. Если эту строку скормить нормализатору как<br>tail -n 1 ./CEF.log &#124; lognormalizer -e json -r cef2.rb &#124; jq .<br>где cat cef2.rb<br>rule=:%date:date-rfc5424% %host:word% %f:cef%%<br>то выдаёт следующее<br>{<br> "originalmsg": "2025-12-01T15:38:07-05:00 RIO-DZ-16-N1 CEF: 0&#124;R&K&#124;DEZ7000 V2&#124;2.3.4-55&#124;16&#124;Opisanie signatury Rsyslog парсинг CEF логов и занесение в БД. (Аноним) https://opennet.ru/openforum/vsluhforumID1/98084.html#2 Sun, 18 Jan 2026 19:09:59 GMT А какой у тоби template для записи ?<br><br>Типа такого что-то должно быть для json/cef<br><br>&lt;pre&gt;<br>template(name="file_short" type="list") {<br> property(name="timegenerated" dateFormat="year")<br> constant(value=".")<br> property(name="timegenerated" dateFormat="month")<br> constant(value=".")<br> property(name="timegenerated" dateFormat="day")<br> constant(value=" ")<br> property(name="timegenerated" dateFormat="hour")<br> constant(value=":")<br> property(name="timegenerated" dateFormat="minute")<br> constant(value=":")<br> property(name="timegenerated" dateFormat="second")<br> constant(value=" ")<br> property(name="hostname")<br> property(name="msg" spifno1stsp="on")<br> property(name="msg" droplastlf="on")<br> constant(value="\n")<br>}<br>&lt;/pre&gt;<br><br><br> Rsyslog парсинг CEF логов и занесение в БД. (Pahanivo) https://opennet.ru/openforum/vsluhforumID1/98084.html#1 Mon, 08 Dec 2025 11:36:32 GMT Написать фикс-однострок уже не камильфо?<br><br><br>