<div dir="ltr"><div><div><div><div>Hi all,<br></div>I'm working with Sawmill log collector that it's able to import the Syslog-NG logs.<br><br></div>I have to export logs with a specific template() to have them corretly imported into Sawmill.<br><br></div>Here the regular expression used to match syslog-ng lines inside the Sawmill parser (that seem coded by "BalaBit IT Security"):<br>'^([0-9][0-9][0-9][0-9]-[0-9][0-9]-[0-9][0-9])T([0-9][0-9]:[0-9][0-9]:[0-9][0-9])[-+][0-9][0-9]:*[0-9][0-9] ([^ ]+) ([^ ]+) ([^ ]+) (.*)$'<br></div><div>where matches are imported as:<br>1- date<br>2- time<br>3- logging_device<br>4- syslog_message_type<br>5- syslog_priority<br>6- v.syslog_message</div><div><div><div><div><div><div><div><div><div class="gmail_signature"><div dir="ltr"><div><br></div><div>I have partially re-create the template() string but I still have a couple of doubts:<br>template("${YEAR}-${MONTH}-${DAY}T${HOUR}:${MIN}:${SEC}+??:?? ${SOURCEIP} ${PROGRAM} ${PRIORITY} ${MSG}\n")<br><br></div><div>Make sense $PROGRAM as "message type"? <br>And do you have any ideas for the question marks? <br><br></div><div>Any help is appreciated. Thank you.<br><br></div><div>-- <br></div><div>Saluti,<br></div><div>Francesco.<br clear="all"></div></div></div></div>
</div></div></div></div></div></div></div></div>