Grokは、複数の定義済みの正規表現を組み合わせてテキストを照合および分割し、テキストセグメントをキーにマッピングするツールです。 Grokはログデータの処理に使用できます。 Thisトピック説明Grokパターンと基本的な構文のいくつかの例を提供。
The次の表をGrokパターン。
説明 Namedパラメータでは使用できませんいくつかのGrokパターンとそれらの組み合わせ、などSYSLOGBASE、COMMONAPACHELOG、COMBINEDAPACHELOG、HTTPD20_ERRORLOG、HTTPD24_ERRORLOG、とHTTPD_ERRORLOG。
データ型 | Pattern | 説明 |
---|---|---|
Common patterns | EXTRACTJSON | Matches JSONデータ。 |
CHINAID | 中国人居住者の身分証明書の番号と一致します。 | |
USERNAME | 文字、数字、およびを含むコンテンツと一致します。 _- . | |
USER | 文字、数字、およびを含むコンテンツと一致します。 _- . | |
EMAILLOCALPART | メールアドレスのアットマーク (@) の前の文字と照合します。 例えば、電子メールアドレス123456@alibaba.comでは、一致したコンテンツは123456である。 | |
EMAILADDRESS | メールアドレスと照合します。 | |
HTTPDUSER | メールアドレスまたはユーザー名と照合します。 | |
INT | 整数と照合します。 | |
BASE10NUM | 10 進数と照合します。 | |
NUMBER | 数字と照合します。 | |
BASE16NUM | 16 進数と照合します。 | |
BASE16FLOAT | 16 進浮動小数点数と照合します。 | |
POSINT | 正の整数と照合します。 | |
NONNEGINT | 負でない整数と照合します。 | |
WORD | 文字、数字、アンダースコア (_) と照合します。 | |
NOTSPACE | スペースではない文字と一致します。 | |
SPACE | スペースに一致します。 | |
DATA | Matchesラインフィード。 | |
GREEDYDATA | Matchesゼロまたは複数文字はないラインフィード。 | |
QUOTEDSTRING | 引用されたコンテンツと照合します。 たとえば、I am "Iron Man" 文字列では、一致するコンテンツはIron Man です。 | |
UUID | universally unique identifiers (UUIDs) と照合します。 | |
ネットワーク | MAC | MAC アドレスと照合します。 |
CISCOMAC | Cisco MACアドレスと照合します。 | |
WINDOWSMAC | Windows MACアドレスと照合します。 | |
COMMONMAC | 共通MACアドレスと一致します。 | |
IPV6 | IPv6 アドレスと照合します。 | |
IPV4 | IPv4 アドレスと照合します。 | |
IP | IPv6 または IPv4 アドレスと照合します。 | |
HOSTNAME | ホスト名と照合します。 | |
IPORHOST | IP アドレスまたはホスト名と照合します。 | |
HOSTPORT | IP アドレス、ホスト名、または正の整数と照合します。 | |
Paths | PATH | UNIX パスまたは Windows パスと照合します。 |
UNIXPATH | UNIX パスと照合します。 | |
WINPATH | Windows パスと照合します。 | |
URIPROTO | URIスキームと一致します。 たとえば、http:// hostname.domain.tld/_astats?application=&inf.name=eth0 では、一致するコンテンツはhttp です。 | |
TTY | ttyパスにマッチします。 | |
URIHOST | IP アドレス、ホスト名、または正の整数と照合します。 たとえば、http:// hostname.domain.tld/_astats?application=&inf.name=eth0 では、一致するコンテンツはhostname.domain.tld です。 | |
URI | URI と照合します。 | |
日付 | MONTH | 数字、省略形、またはフルネーム形式の月と一致します。 |
MONTHNUM | 数値形式の月と一致します。 | |
MONTHDAY | 月の日と照合します。 | |
DAY | Matches平日にある略称または名形式。 | |
YEAR | 年と照合します。 | |
時間 | HOUR | 時間を一致させます。 |
MINUTE | 数分に一致します。 | |
SECOND | 秒に一致します。 | |
時間 | 時間に一致します。 | |
DATE_US | 日付を月-日-年または月 /日 /年の形式で照合します。 | |
DATE_EU | 日付を日-月-年、日 /月 /年または日. 月. 年形式で照合します。 | |
ISO8601_TIMEZONE | ISO 8601形式の時間と分を照合します。 | |
ISO8601_SECOND | ISO 8601形式の秒数と一致します。 | |
TIMESTAMP_ISO8601 | ISO 8601形式の時刻と一致します。 | |
日付 | 米国またはEU形式の日付を照合します。 | |
DATESTAMP | 日付と時刻に一致します。 | |
TZ | UTC タイムゾーンと照合します。 | |
DATESTAMP_RFC822 | RFC 822形式の時刻と一致します。 | |
DATESTAMP_RFC2822 | RFC 2822形式の時刻と一致します。 | |
DATESTAMP_OTHER | 他の形式の時刻と一致します。 | |
DATESTAMP_EVENTLOG | EventLog形式の時刻と一致します。 | |
HTTPDERROR_DATE | httpdエラー形式の時刻と一致します。 | |
SYSLOG | SYSLOGTIMESTAMP | Syslog形式の時刻と一致します。 |
PROG | プログラムに一致します。 | |
SYSLOGPROG | プログラムとプロセス識別子 (PID) を照合します。 | |
SYSLOGHOST | IP アドレスまたはホスト名と照合します。 | |
SYSLOGFACILITY | 施設にマッチします。 | |
HTTPDATE | HTTP形式の日付と時刻を照合します。 | |
LOGFORMATL | LOGFORMAT | 従来の形式のSyslogログと一致します。 |
COMMONAPACHELOG | 一般的な Apache ログと照合します。 | |
COMBINEDAPACHELOG | 結合された Apache ログと照合します。 | |
HTTPD20_ERRORLOG | httpd20 ログと照合します。 | |
HTTPD24_ERRORLOG | httpd24 ログと照合します。 | |
HTTPD_ERRORLOG | httpd ログと照合します。 | |
LOGLEVELS | LOGLEVELS | warn や debug などのログレベルと照合します。 |
一般的なGROKパターン
EXTRACTJSON (?) <json>(?:\{\ s * "(?:\\" |[^ "])+" s *: s *(?:(? P>json)| "(?:\\" |[^ "])+" |[-+]?( 0 |[1-9]\d *)(?:\.[-+]?( 0 |[1-9]\d *)?(?:[eE][-+]?( 0 |[1-9]\d *)? |(?:true | false)| null)(?:\ s *,\s * "(?:\\" |[^ "])+"\s *:\s *(?:(? P>json)| "(?:\\" |[^ "])+" |[-+]?( 0 |[1-9]\d *)(?:\.[-+]?( 0 |[1-9]\d *)?(?:[eE][-+]?( 0 |[1-9]\d *)? |(?:true | false)| null) *\s * \}|\[\s *(?:(??) P>json)| "(?:\\" |[^ "])+" |[-+]?( 0 |[1-9]\d *)(?:\.[-+]?( 0 |[1-9]\d *)?(?:[eE][-+]?( 0 |[1-9]\d *)? |(?:true | false)| null)(?:\ s *,\s *(?:(?? P>json)| "(?:\\" |[^ "])+" |[-+]?( 0 |[1-9]\d *)(?:\.[-+]?( 0 |[1-9]\d *)?(?:[eE][-+]?( 0 |[1-9]\d *)? |(?:true | false)| null) *\s *\]))
CHINAID [1-9]\d{5})(((18 | 19 |([23]\d)))\d{2}((0[1-9])|(10 | 11 | 12))((([0-2][1-9])) | 10 | 20 | 30 | 31)\d{3}[0-9Xx]$)|(^[1-9]\d{5}\d{2}((0[1-9])|(10 | 11 | 12))((([0-2][1-9])| 10 | 20 | 30 | 31)\d{3}
USERNAME [a-zA-Z0-9。 _-]+
USER %{USERNAME}
EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_。 +-=:]+
EMAILADDRESS %{EMAILLOCALPART }@%{ HOSTNAME}
HTTPDUSER %{EMAILADDRESS }|%{ USER}
INT (?:[+]?(?:[0-9]+))
BASE10NUM (? <![ 0-9. +-])(? > [-]?(?:(?:[0-9]+(?:\.[ 0-9]+)?) |(?:\.[ 0-9]+)))
番号 (?:%{ BASE10NUM})
BASE16NUM (? <![ 0-9A-Fa-f])(?:[-]?(?:0x)?(?:[0-9A-Fa-f]+))
BASE16FLOAT \b(? <![ 0-9A-Fa-f.])(?:[-]?(?:0x)?(?:(?:[0-9A-Fa-f]+(?:\.[ 0-9A-Fa-f]*)) |(?:\.[ 0-9A-Fa-f]+)))\b \b
POSINT \b(?:[1-9][0-9]*)\b
NONNEGINT \b(?:[0-9]+)\b
ワード \b\w +\b
NOTSPACE \S +
スペース \s *
データ。 *?
GREEDYDATA . *
引用 (? >(? <! \\)(? >"(? >\\. |[^\\"]+)+"|""|(? >'(? >\\. |[^\\']+)+')|''|(? >`(? >\\. |[^\\ ']+)+')| '')
UUID [A-Fa-f0-9]{8}-(?:[A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}
"" "ネットワーキング" ""
MAC (?:%{ CISCOMAC }|%{ WINDOWSMAC }|%{ COMMONMAC})
CISCOMAC (?:(?:[A-Fa-f0-9]{4}\.){2} [A-Fa-f0-9]{4})
WINDOWSMAC (?:(?:[A-Fa-f0-9]{2}-){5}[A-Fa-f0-9]{2})
COMMONMAC (?:(?:[A-Fa-f0-9]{2}:){5}[A-Fa-f0-9]{2})
IPV6 ((([0-9A-Fa-f]{1,4}:){7}([0-9A-Fa-f]{1,4 }|:))|(([0-9A-Fa-f]{1,4}:){6}(:[0-9A-Fa-f]{1,4}|((25[0-5]] | 0-4] | 2 [9-1] \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3})|:))|(([0-9A-Fa-f]{1,4}:){5}(((:[0-9A-Fa-f]{1,4}){1,2})|:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3})|:))|(([0-9A-Fa-f]{1,4}:){4}(((:[0-9A-Fa-f]{1,4}){1,3})|((:[0-9A-Fa-f]{1,4})?:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){3}(((:[0-9A-Fa-f]{1,4}){1,4})|((:[0-9A-Fa-f]{1,4}){0,2}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){2}(((:[0-9A-Fa-f]{1,4}){1,5})|((:[0-9A-Fa-f]{1,4}){0,3}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){1}(((:[0-9A-Fa-f]{1,4}){1,6})|((:[0-9A-Fa-f]{1,4}){0,4}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:))|(:(((:[0-9A-Fa-f]{1,4}){1,7})|((:[0-9A-Fa-f]{1,4}){0,5}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:)))(%. +)?
IPV4 (? <![ 0-9])(?:(?:[0-1]?[ 0-9]{1,2}| 2[0-4][0-9]| 25[0-5])[.](?:[0-1]?[ 0-9]{1,2}| 2[0-4][0-9]| 25[0-5])[.](?:[0-1]?[ 0-9]{1,2}| 2[0-4][0-9]| 25[0-5])[.](?:[0-1]?[ 0-9]{1,2}| 2[0-4][0-9]| 25[0-5])(?![ 0-9])
IP (?:%{ IPV6 }|%{ IPV4})
HOSTNAME \b(?:[0-9A-Za-z][0-9A-Za-z-]{0,62})(?:\ (?:[0-9A-Za-z][0-9A-Za-z-]{0,62}))*(\.? |\b)
IPORHOST (?:%{ IP }|%{ HOSTNAME})
HOSTPORT %{IPORHOST }:%{ POSINT}
"" "パス" ""
パス (?:%{ UNIXPATH }|%{ WINPATH})
UNIXPATH (/([\w_%! $@:.,~] + |\\.) *)+
TTY (?:/dev/(pts | tty([pq])?)( \w +)? /?(?:[0-9]+)
WINPATH (? >[A-Za-z]+:|\\)(?:\\[^\\? *]*)+
URIPROTO [A-Za-z]+(\[A-Za-z]+)?
URIHOST %{IPORHOST}(?::%{POSINT:port})?
"" uripathはRFC1738から大まかに来ていますが、主にFirefox "" "から来ています
"" "は % XXになりません" """
URIPATH (?:/[A-Za-z0-9$. +! * '(){}, ~ :=@#%_\-]*)+
"" "URIPARAM \?(?:[A-Za-z0-9]+(?:=(?:[^&]*)))?(?:&(?:[A-Za-z0-9]+(?:=(?:[^&]*))?) *)?" """
URIPARAM \? [A-Za-z0-9 $。 +! *'|(){},~@#%&/=:;_? \-\[\]<>]*
URIPATHPARAM %{URIPATH}(?:%{ URIPARAM})?
URI %{URIPROTO}://(?:%{USER}(?::[^@]*)? @)?(?:%{URIHOST})?(?:%{URIPATHPARAM})?
"" "Months: January、Feb、3、03、12、December" ""
MONTH \b(?:Jan(?:uary | uar)? |Feb(?:ruary|ruar)? |M(?:a|ä)? r(?:ch|z)? |Apr(?:il)? |Ma(?:y|i)? |Jun(?:e|i)? |Jul(?:y)? |Aug(?:ust)? |Sep(?:tember)? |O(?:c|k)? t(?:ober)? |Nov(?:ember)? | De(?:c | z)(?:ember) \b
MONTHNUM (?:0?[ 1-9]| 1[0-2])
MONTHNUM2 (?:0[1-9]| 1[0-2])
MONTHDAY (?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9])
"" 日: 月曜日、火曜日、木曜日など... "" ""
DAY (?: 月 (?: 日)? |Tue(?:sday)? |Wed(?:nesday)? |Thu(?:rsday)? |Fri(?:day)? |Sat(?:urday)? | サン (?: 日)?)
"" "年?" ""
年 (? >\d\d){1,2}
HOUR (?:2[0123]|[01]?[ 0-9])
分 (?:[0-5][0-9])
"" "'60' は、ほとんどの時間基準でうるう秒であるため、有効です。" """
第2 (?:(?:[0-5]?[ 0-9]| 60)(?:[:,][0-9]+)?)
時間 (?! <[0-9])%{HOUR }:%{ MINUTE}(?::%{ 第2})(?![ 0-9])
"" datestamp is YYYY/MM/DD-HH:MM:SS.UUUU (またはそれに似たもの) "" ""
DATE_US %{MONTHNUM}[/-]%{MONTHDAY}[/-]%{YEAR}
DATE_EU %{MONTHDAY}[。 /-]%{MONTHNUM}[. /-]%{YEAR}
ISO8601_TIMEZONE (?:Z |[+-]%{HOUR}(?::? %{MINUTE})
ISO8601_SECOND (?:%{ SECOND}| 60)
TIMESTAMP_ISO8601 %{YEAR}-%{MONTHNUM}-%{MONTHDAY}[T ]%{HOUR }:? %{MINUTE}(?::? %{SECOND})? %{ISO8601_TIMEZONE}?
DATE %{DATE_US }|%{ DATE_EU}
DATESTAMP %{DATE}[- ]%{TIME}
TZ (?:[PMCE][SD]T | UTC)
DATESTAMP_RFC822 %{DAY} %{MONTH} %{MONTHDAY} %{YEAR} %{TIME} %{TZ}
DATESTAMP_RFC2822 %{DAY}, %{MONTHDAY} %{MONTH} %{YEAR} %{TIME} %{ISO8601_TIMEZONE}
DATESTAMP_OTHER %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{TZ} %{YEAR}
DATESTAMP_EVENTLOG %{YEAR }%{ MONTHNUM2 }%{ MONTHDAY }%{ HOUR }%{ MINUTE }%{ SECOND}
HTTPDERROR_DATE %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{YEAR}
"" Syslog日付: 月の日HH:MM:SS """
SYSLOGTIMESTAMP %{MONTH} + %{MONTHDAY} %{TIME}
PROG [\x21-\x5a\x5c-\x7e]+
SYSLOGPROG %{PROG:program}(?:\[%{POSINT:pid}\])?
SYSLOGHOST %{IPORHOST}
SYSLOGFACILITY <%{ NONNEGINT:facility} 。 %{NONNEGINT:priority}>
HTTPDATE %{MONTHDAY}/%{MONTH}/%{YEAR }:%{ TIME} %{INT}
"" "ショートカット""
QS %{QUOTEDSTRING}
"" "ログ形式" ""
SYSLOGBASE %{SYSLOGTIMESTAMP:timestamp} (?:%{ SYSLOGFACILITY} )? %{SYSLOGHOST:logsource} %{SYSLOGPROG}:
COMMONAPACHELOG %{IPORHOST:clientip} %{HTTPDUSER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "(?:%{ WORD: verd} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})? |%{ DATA:rawrequest})"%{NUMBER:response} (?:%{ NUMBER:bytes}|-)
COMBINEDAPACHELOG %{COMMONAPACHELOG} %{QS:referrer} %{QS:agent}
HTTPD20_ERRORLOG \[%{HTTPDERROR_DATE:timestamp}\] \[%{LOGLEVEL:loglevel}\] (?:\[client %{IPORHOST:clientip}\] ){0,1 }%{ GREEDYDATA:errormsg}
HTTPD24_ERRORLOG \[%{HTTPDERROR_DATE:timestamp}\] \[%{WORD:module }:%{ LOGLEVEL:loglevel}\] \[pid %{POSINT:pid}:tid %{NUMBER:tid}\]( \) {err_pro_orcode} ( \[client %{IPORHOST:client }:%{ POSINT:clientport}\])? %{DATA:errorcode}: %{GREEDYDATA:message}
HTTPD_ERRORLOG %{HTTPD20_ERRORLOG}|%{ HTTPD24_ERRORLOG}
"" ログレベル """
LOGLEVEL ([Aa]lert | ALERT |[Tt]race | TRACE |[Dd]ebug | DEBUG |[Nn]otice | NOTICE |[Ii]nfo | INFO |[Ww]arn?(?:ing)? |WARN?(?:ING)? |[Ee]rr?(?:or)? |ERR?(?:OR)? |[Cc]rit?(?:ical)? |CRIT?(?:ICAL)? |[Ff]atal|FATAL|[Ss]evere|SEVERE|EMERG(?:ENCY)? |[Ee]merg(?:ency)?)
基本的な構文の例
CHINAID [1-9]\d{5})(((18 | 19 |([23]\d)))\d{2}((0[1-9])|(10 | 11 | 12))((([0-2][1-9])) | 10 | 20 | 30 | 31)\d{3}[0-9Xx]$)|(^[1-9]\d{5}\d{2}((0[1-9])|(10 | 11 | 12))((([0-2][1-9])| 10 | 20 | 30 | 31)\d{3}
USERNAME [a-zA-Z0-9。 _-]+
USER %{USERNAME}
EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_。 +-=:]+
EMAILADDRESS %{EMAILLOCALPART }@%{ HOSTNAME}
HTTPDUSER %{EMAILADDRESS }|%{ USER}
INT (?:[+]?(?:[0-9]+))
BASE10NUM (? <![ 0-9. +-])(? > [-]?(?:(?:[0-9]+(?:\.[ 0-9]+)?) |(?:\.[ 0-9]+)))
番号 (?:%{ BASE10NUM})
BASE16NUM (? <![ 0-9A-Fa-f])(?:[-]?(?:0x)?(?:[0-9A-Fa-f]+))
BASE16FLOAT \b(? <![ 0-9A-Fa-f.])(?:[-]?(?:0x)?(?:(?:[0-9A-Fa-f]+(?:\.[ 0-9A-Fa-f]*)) |(?:\.[ 0-9A-Fa-f]+)))\b \b
POSINT \b(?:[1-9][0-9]*)\b
NONNEGINT \b(?:[0-9]+)\b
ワード \b\w +\b
NOTSPACE \S +
スペース \s *
データ。 *?
GREEDYDATA . *
引用 (? >(? <! \\)(? >"(? >\\. |[^\\"]+)+"|""|(? >'(? >\\. |[^\\']+)+')|''|(? >`(? >\\. |[^\\ ']+)+')| '')
UUID [A-Fa-f0-9]{8}-(?:[A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}
"" "ネットワーキング" ""
MAC (?:%{ CISCOMAC }|%{ WINDOWSMAC }|%{ COMMONMAC})
CISCOMAC (?:(?:[A-Fa-f0-9]{4}\.){2} [A-Fa-f0-9]{4})
WINDOWSMAC (?:(?:[A-Fa-f0-9]{2}-){5}[A-Fa-f0-9]{2})
COMMONMAC (?:(?:[A-Fa-f0-9]{2}:){5}[A-Fa-f0-9]{2})
IPV6 ((([0-9A-Fa-f]{1,4}:){7}([0-9A-Fa-f]{1,4 }|:))|(([0-9A-Fa-f]{1,4}:){6}(:[0-9A-Fa-f]{1,4}|((25[0-5]] | 0-4] | 2 [9-1] \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3})|:))|(([0-9A-Fa-f]{1,4}:){5}(((:[0-9A-Fa-f]{1,4}){1,2})|:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3})|:))|(([0-9A-Fa-f]{1,4}:){4}(((:[0-9A-Fa-f]{1,4}){1,3})|((:[0-9A-Fa-f]{1,4})?:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){3}(((:[0-9A-Fa-f]{1,4}){1,4})|((:[0-9A-Fa-f]{1,4}){0,2}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){2}(((:[0-9A-Fa-f]{1,4}){1,5})|((:[0-9A-Fa-f]{1,4}){0,3}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){1}(((:[0-9A-Fa-f]{1,4}){1,6})|((:[0-9A-Fa-f]{1,4}){0,4}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:))|(:(((:[0-9A-Fa-f]{1,4}){1,7})|((:[0-9A-Fa-f]{1,4}){0,5}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]? \d)){3}))|:)))(%. +)?
IPV4 (? <![ 0-9])(?:(?:[0-1]?[ 0-9]{1,2}| 2[0-4][0-9]| 25[0-5])[.](?:[0-1]?[ 0-9]{1,2}| 2[0-4][0-9]| 25[0-5])[.](?:[0-1]?[ 0-9]{1,2}| 2[0-4][0-9]| 25[0-5])[.](?:[0-1]?[ 0-9]{1,2}| 2[0-4][0-9]| 25[0-5])(?![ 0-9])
IP (?:%{ IPV6 }|%{ IPV4})
HOSTNAME \b(?:[0-9A-Za-z][0-9A-Za-z-]{0,62})(?:\ (?:[0-9A-Za-z][0-9A-Za-z-]{0,62}))*(\.? |\b)
IPORHOST (?:%{ IP }|%{ HOSTNAME})
HOSTPORT %{IPORHOST }:%{ POSINT}
"" "パス" ""
パス (?:%{ UNIXPATH }|%{ WINPATH})
UNIXPATH (/([\w_%! $@:.,~] + |\\.) *)+
TTY (?:/dev/(pts | tty([pq])?)( \w +)? /?(?:[0-9]+)
WINPATH (? >[A-Za-z]+:|\\)(?:\\[^\\? *]*)+
URIPROTO [A-Za-z]+(\[A-Za-z]+)?
URIHOST %{IPORHOST}(?::%{POSINT:port})?
"" uripathはRFC1738から大まかに来ていますが、主にFirefox "" "から来ています
"" "は % XXになりません" """
URIPATH (?:/[A-Za-z0-9$. +! * '(){}, ~ :=@#%_\-]*)+
"" "URIPARAM \?(?:[A-Za-z0-9]+(?:=(?:[^&]*)))?(?:&(?:[A-Za-z0-9]+(?:=(?:[^&]*))?) *)?" """
URIPARAM \? [A-Za-z0-9 $。 +! *'|(){},~@#%&/=:;_? \-\[\]<>]*
URIPATHPARAM %{URIPATH}(?:%{ URIPARAM})?
URI %{URIPROTO}://(?:%{USER}(?::[^@]*)? @)?(?:%{URIHOST})?(?:%{URIPATHPARAM})?
"" "Months: January、Feb、3、03、12、December" ""
MONTH \b(?:Jan(?:uary | uar)? |Feb(?:ruary|ruar)? |M(?:a|ä)? r(?:ch|z)? |Apr(?:il)? |Ma(?:y|i)? |Jun(?:e|i)? |Jul(?:y)? |Aug(?:ust)? |Sep(?:tember)? |O(?:c|k)? t(?:ober)? |Nov(?:ember)? | De(?:c | z)(?:ember) \b
MONTHNUM (?:0?[ 1-9]| 1[0-2])
MONTHNUM2 (?:0[1-9]| 1[0-2])
MONTHDAY (?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9])
"" 日: 月曜日、火曜日、木曜日など... "" ""
DAY (?: 月 (?: 日)? |Tue(?:sday)? |Wed(?:nesday)? |Thu(?:rsday)? |Fri(?:day)? |Sat(?:urday)? | サン (?: 日)?)
"" "年?" ""
年 (? >\d\d){1,2}
HOUR (?:2[0123]|[01]?[ 0-9])
分 (?:[0-5][0-9])
"" "'60' は、ほとんどの時間基準でうるう秒であるため、有効です。" """
第2 (?:(?:[0-5]?[ 0-9]| 60)(?:[:,][0-9]+)?)
時間 (?! <[0-9])%{HOUR }:%{ MINUTE}(?::%{ 第2})(?![ 0-9])
"" datestamp is YYYY/MM/DD-HH:MM:SS.UUUU (またはそれに似たもの) "" ""
DATE_US %{MONTHNUM}[/-]%{MONTHDAY}[/-]%{YEAR}
DATE_EU %{MONTHDAY}[。 /-]%{MONTHNUM}[. /-]%{YEAR}
ISO8601_TIMEZONE (?:Z |[+-]%{HOUR}(?::? %{MINUTE})
ISO8601_SECOND (?:%{ SECOND}| 60)
TIMESTAMP_ISO8601 %{YEAR}-%{MONTHNUM}-%{MONTHDAY}[T ]%{HOUR }:? %{MINUTE}(?::? %{SECOND})? %{ISO8601_TIMEZONE}?
DATE %{DATE_US }|%{ DATE_EU}
DATESTAMP %{DATE}[- ]%{TIME}
TZ (?:[PMCE][SD]T | UTC)
DATESTAMP_RFC822 %{DAY} %{MONTH} %{MONTHDAY} %{YEAR} %{TIME} %{TZ}
DATESTAMP_RFC2822 %{DAY}, %{MONTHDAY} %{MONTH} %{YEAR} %{TIME} %{ISO8601_TIMEZONE}
DATESTAMP_OTHER %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{TZ} %{YEAR}
DATESTAMP_EVENTLOG %{YEAR }%{ MONTHNUM2 }%{ MONTHDAY }%{ HOUR }%{ MINUTE }%{ SECOND}
HTTPDERROR_DATE %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{YEAR}
"" Syslog日付: 月の日HH:MM:SS """
SYSLOGTIMESTAMP %{MONTH} + %{MONTHDAY} %{TIME}
PROG [\x21-\x5a\x5c-\x7e]+
SYSLOGPROG %{PROG:program}(?:\[%{POSINT:pid}\])?
SYSLOGHOST %{IPORHOST}
SYSLOGFACILITY <%{ NONNEGINT:facility} 。 %{NONNEGINT:priority}>
HTTPDATE %{MONTHDAY}/%{MONTH}/%{YEAR }:%{ TIME} %{INT}
"" "ショートカット""
QS %{QUOTEDSTRING}
"" "ログ形式" ""
SYSLOGBASE %{SYSLOGTIMESTAMP:timestamp} (?:%{ SYSLOGFACILITY} )? %{SYSLOGHOST:logsource} %{SYSLOGPROG}:
COMMONAPACHELOG %{IPORHOST:clientip} %{HTTPDUSER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "(?:%{ WORD: verd} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})? |%{ DATA:rawrequest})"%{NUMBER:response} (?:%{ NUMBER:bytes}|-)
COMBINEDAPACHELOG %{COMMONAPACHELOG} %{QS:referrer} %{QS:agent}
HTTPD20_ERRORLOG \[%{HTTPDERROR_DATE:timestamp}\] \[%{LOGLEVEL:loglevel}\] (?:\[client %{IPORHOST:clientip}\] ){0,1 }%{ GREEDYDATA:errormsg}
HTTPD24_ERRORLOG \[%{HTTPDERROR_DATE:timestamp}\] \[%{WORD:module }:%{ LOGLEVEL:loglevel}\] \[pid %{POSINT:pid}:tid %{NUMBER:tid}\]( \) {err_pro_orcode} ( \[client %{IPORHOST:client }:%{ POSINT:clientport}\])? %{DATA:errorcode}: %{GREEDYDATA:message}
HTTPD_ERRORLOG %{HTTPD20_ERRORLOG}|%{ HTTPD24_ERRORLOG}
"" ログレベル """
LOGLEVEL ([Aa]lert | ALERT |[Tt]race | TRACE |[Dd]ebug | DEBUG |[Nn]otice | NOTICE |[Ii]nfo | INFO |[Ww]arn?(?:ing)? |WARN?(?:ING)? |[Ee]rr?(?:or)? |ERR?(?:OR)? |[Cc]rit?(?:ical)? |CRIT?(?:ICAL)? |[Ff]atal|FATAL|[Ss]evere|SEVERE|EMERG(?:ENCY)? |[Ee]merg(?:ency)?)
AWS 用のサンプルパターン
S3_REQUEST_LINE (?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})? |%{ DATA:rawrequest})
S3_ACCESS_LOG %{WORD: 所有者} %{NOTSPACE: バケツ} の [%{HTTPDATE: タイムスタンプ} の] %{IP:clientip} %{NOTSPACE: 者} %{NOTSPACE:request_id} %{NOTSPACE: 操作} %{NOTSPACE: キー} (?:"%{S3_REQUEST_LINE}" |-) (?:%{ INT: 応答: int}|-) (?:-|%{ NOTSPACE:error_code}) (?:%{ INT: バイト: int}|-) (?:%{ INT:object_size:int}|-) (?:%{ INT:request_time_ms:int}|-) (?:%{ INT:turnaround_time_ms:int}|-) (?:%{ QS:referrer}|-) (?:"? %{QS:agent}"? |-) (?:-|%{ NOTSPACE:version_id})
ELB_URIPATHPARAM %{URIPATH:path}(?:%{ URIPPARAM: params})?
ELB_URI %{URIPROTO:proto}://(?:%{USER}(?::[^@]*)? @)?(?:%{URIHOST:urihost})?(?:%{ELB_URIPATHPARAM})?
ELB_REQUEST_LINE (?:%{WORD:verb} %{ELB_URI:request}(?: HTTP/%{NUMBER:httpversion})? |%{ DATA:rawrequest})
ELB_ACCESS_LOG %{TIMESTAMP_ISO8601: タイムスタンプ} %{NOTSPACE:elb} %{IP:clientip }:%{ INT:clientport:int} (?:( %{IP:backendip }:?:%{ INT:backendport:int})|-) %{NUMBER:request_processing_time: フロート} %{NUMBER:backend_processing_time: フロート} %{NUMBER:response_processing_time: フロート} %{INT: 応答: int} %{INT:backend_response:int} %{INT:received_bytes:int} %{INT: バイト: int} "%{ELB_REQUEST_LINE}"
Bacula 用のサンプルパターン
BACULA_TIMESTAMP %{MONTHDAY}-%{MONTH} %{HOUR }:%{ MINUTE}
BACULA_HOST [a-zA-Z0-9-]+
BACULA_VOLUME % {ユーザー}
BACULA_DEVICE % {ユーザー}
BACULA_DEVICEPATH %{UNIXPATH}
BACULA_CAPACITY %{INT}{1,3}(,%{ INT}{3})*
BACULA_VERSION % {ユーザー}
BACULA_JOB % {ユーザー}
BACULA_LOG_MAX_CAPACITYデバイスでユーザー定義の最大ボリューム容量 %{BACULA_CAPACITY} を超えました \"%{BACULA_DEVICE:device}\" \(%{BACULA_DEVICEPATH}\)
BACULA_LOG_END_VOLUMEボリュームのメディアの終了 \"%{BACULA_VOLUME: ボリューム}\" Bytes =%{ BACULA_CAPACITY} Blocks =%{ BACULA_CAPACITY} at %{MONTHDAY}-%{MONTH}-%{MONTH}-%{YEAR} %{HOUR }:%}
BACULA_LOG_NEW_VOLUME Created new Volume \"%{BACULA_VOLUME:volume}\" in catalog.
BACULA_LOG_NEW_LABEL Labeled new Volume \"%{BACULA_VOLUME:volume}\" on device \"%{BACULA_DEVICE:device}\" \(%{BACULA_DEVICEPATH}\).
BACULA_LOG_WROTE_LABELデバイスのラベル \"%{BACULA_VOLUME: Volume}\" にラベルを書きました \"%{BACULA_DEVICE}\" \(%{BACULA_DEVICEPATH}\)
BACULA_LOG_NEW_MOUNT New volume \"%{BACULA_VOLUME:volume}\" mounted on device \"%{BACULA_DEVICE:device}\" (%{BACULA_DEVICEPATH}\) at %{MONTHDAY}-%{MONTH}-% {残り}
BACULA_LOG_NOOPEN \s %{DATA} を開けません: ERR =%{ GREEDYDATA: エラー}
BACULA_LOG_NOOPENDIR \s + ディレクトリを開けませんでした %{DATA}: ERR =%{ GREEDYDATA: エラー}
BACULA_LOG_NOSTAT \s %{DATA}: ERR =%{ GREEDYDATA: エラー}
BACULA_LOG_NOJOBS Volume \"%{BACULA_VOLUME:volume}\" に関連付けられたジョブはもうありません。 Marking it purged.
BACULA_LOG_ALL_RECORDS_PRUNED Volumeから剪定されたすべてのレコード \"%{BACULA_VOLUME:volume}\"; マークする \"Purged\"
BACULA_LOG_BEGIN_PRUNE_JOBS %{INT} か月 %{INT} 日より古いジョブの剪定を開始します。
BACULA_LOG_BEGIN_PRUNE_FILES Begin pruning Files.
BACULA_LOG_PRUNED_JOBS Pruned %{INT} Jobs* for client %{BACULA_HOST:client} from catalog.
BACULA_LOG_PRUNED_FILES Pruned Files from %{INT} Jobs* for client %{BACULA_HOST:client} from catalog.
BACULA_LOG_ENDPRUNE End auto prune.
BACULA_LOG_STARTJOB Start Backup JobId %{INT}, Job =%{ BACULA_JOB:job}
BACULA_LOG_STARTRESTORE Start Restore Job %{BACULA_JOB:job}
BACULA_LOG_USEDEVICE Using Device \"%{BACULA_DEVICE:device}\"
BACULA_LOG_DIFF_FS \s + %{UNIXPATH} は別のファイルシステムです。 Will not descend from %{UNIXPATH} into it.
BACULA_LOG_JOBEND Job write elapsed time = %{DATA:elapsed}, Transfer rate = %{NUMBER} (K|M|G)? バイト /秒
BACULA_LOG_NOPRUNE_JOBS剪定するジョブが見つかりませんでした。
BACULA_LOG_NOPRUNE_FILES No Files found to prune.
BACULA_LOG_VOLUME_PREVWRITTEN Volume \"%{BACULA_VOLUME:volume}\" previously written, moving to end of data.
BACULA_LOG_READYAPPENDボリュームの末尾に追加する準備ができました \"%{BACULA_VOLUME: Volume}\" size =%{ INT}
BACULA_LOG_CANCELLING重複JobIdのキャンセル =%{ INT} 。
BACULA_LOG_MARKCANCEL JobId %{INT}, Job %{BACULA_JOB:job} marked to be canceled.
BACULA_LOG_CLIENT_RBJシェルコマンド: ClientRunBeforeJob \"%{GREEDYDATA:runjob}\" を実行します。BACULA_LOG_VSS (生成)? VSS (Writer)?
BACULA_LOG_MAXSTART Fatal error: Job canceled because max start delay time exceeded.
BACULA_LOG_DUPLICATE Fatal error: JobId %{INT:duplicate} already running. Duplicate job not allowed.
BACULA_LOG_NOJOBSTAT Fatal error: No Job status returned from FD.
BACULA_LOG_FATAL_CONN Fatal error: bsock.c:133 Unable to connect to (Client: %{BACULA_HOST:client}|Storage daemon) on %{HOSTNAME}:%{POSINT}. ERR=(? <エラー >%{ GREEDYDATA})
BACULA_LOG_NO_CONNECT警告: bsock.c:127%{HOSTNAME }:%{ POSINT} で (クライアント: %{BACULA_HOST: クライアント} | ストレージデーモン) に接続できませんでした。 ERR=(? <エラー >%{ GREEDYDATA})
BACULA_LOG_NO_AUTH致命的なエラー: %{HOSTNAME} のファイルデーモンで認証できません。 考えられる原因:
BACULA_LOG_NOSUIT以前または適切な完全バックアップがカタログに見つかりません。 Doing FULL backup.
BACULA_LOG_NOPRIOR No prior Full backup Job record found.
BACULA_LOG_JOB (Error: )? Bacula %{BACULA_HOST} %{BACULA_VERSION} (%{BACULA_VERSION} の):
BACULA_LOGLINE %{BACULA_TIMESTAMP:bts} %{BACULA_HOST:hostname} JobId %{INT:jobid}: (%{BACULA_LOG_MAX_CAPACITY }|%{ BACULA_LOG_END_VOLUME }|%{ BACULA_LOG_NEW_VOLUME }|%{ BACULA_LOG_NEW_LABEL }|%{ BACULA_LOG_WROTE_LABEL }|%{ BACULA_LOG_NEW_MOUNT }|%{ BACULA_LOG_NOOPEN }|%{ BACULA_LOG_NOOPENDIR }|%{ BACULA_LOG_NOSTAT }|%{ BACULA_LOG_NOJOBS }|%{ BACULA_LOG_ALL_RECORDS_PRUNED }|%{ BACULA_LOG_BEGIN_PRUNE_JOBS }|%{ BACULA_LOG_BEGIN_PRUNE_FILES }|%{ BACULA_LOG_PRUNED_JOBS }|%{ BACULA_LOG_PRUNED_FILES }|%{ BACULA_LOG_ENDPRUNE }|%{ BACULA_LOG_STARTJOB }|%{ BACULA_LOG_STARTRESTORE }|%{ BACULA_LOG_USEDEVICE }|%{ BACULA_LOG_DIFF_FS }|%{ BACULA_LOG_JOBEND }|%{ BACULA_LOG_NOPRUNE_JOBS }|%{ BACULA_LOG_NOPRUNE_FILES }|%{ BACULA_LOG_VOLUME_PREVWRITTEN }|%{ BACULA_LOG_READYAPPEND }|%{ BACULA_LOG_CANCELLING }|%{ BACULA_LOG_MARKCANCEL }|%{ BACULA_LOG_CLIENT_RBJ }|%{ BACULA_LOG_VSS }|%{ BACULA_LOG_MAXSTART }|%{ BACULA_LOG_DUPLICATE }|%{ BACULA_LOG_NOJOBSTAT }|%{ BACULA_LOG_FATAL_CONN }|%{ BACULA_LOG_NO_CONNECT }|%{ BACULA_LOG_NO_AUTH }|%{ BACULA_LOG_NOSUIT }|%{ BACULA_LOG_JOB }|%{ BACULA_LOG_NOPRIOR})
Bro 用のサンプルパターン
"" "https://www.bro.org/sphinx/script-reference/log-files.html" ""
"" http.log """
BRO_HTTP %{NUMBER:ts}\t %{NOTSPACE:uid}\t %{IP:orig_h}\t %{INT:orig_p}\t %{IP:resp_h}\t %{INT:resp_p} uri}\t %{GREEDYDATA:referrer}\t %{GREEDYDATA:user_agent}\t %{NUMBER:request_body_len}\t %{NUMBER:response_body_len}\t %{GREEDYDATA:status_code} bro_tags}\t %{GREEDYDATA:username}\t %{GREEDYDATA:password}\t %{GREEDYDATA:proxied}\t %{GREEDYDATA:orig_fuids}\t %{GREEDYDATA:orig_mime_types}
"" "dns.log" ""
BRO_DNS %{NUMBER:ts}\t %{NOTSPACE:uid}\t %{IP:orig_h}\t %{INT:orig_p}\t %{IP:resp_h}\t %{INT:resp_p}\t %{WORD:proto}\t % {EDT: proto: YDATA \query} qclass}\t %{GREEDYDATA:qclass_name}\t %{GREEDYDATA:qtype}\t %{GREEDYDATA:qtype_name}\t %{GREEDYDATA:rcode}\t %{GREEDYDATA:rcode_name}\t %{GREEDYDATA: データ: AA}\t {GREEDYRA: データ} Z}\t %{GREEDYDATA:answers}\t %{GREEDYDATA:TTL}\t %{GREEDYDATA:rejected}
"" "conn.log" ""
BRO_CONN %{NUMBER:ts}\t %{NOTSPACE:uid}\t %{IP:orig_h}\t %{INT:orig_p}\t %{IP:resp_h}\t %{INT:resp_p}\t %{WORD:proto}\t %{GREEDYDATA:service}\期間 {NUT: MBER} orig_bytes}\t %{NUMBER:resp_bytes}\t %{GREEDYDATA:conn_state}\t %{GREEDYDATA:local_orig}\t %{GREEDYDATA:missed_bytes}\t % {GREEDYrespYDATA: history}\tバイト {GREEDY_DATA: ipk_ED_ED_: Yorik_{: YDATA}}}} tunnel_parents}
"" "files.log" ""
BRO_FILES %{NUMBER:ts}\t %{NOTSPACE:fuid}\t %{IP:tx_hosts}\t %{IP:rx_hosts}\t %{NOTSPACE:conn_uids}\t %{GREEDYDATA:source}\t %{GREEDYDATA: DATA: \meECA-1} filename}\t %{GREEDYDATA:duration}\t %{GREEDYDATA:local_orig}\t %{GREEDYDATA:is_orig}\t %{GREEDYDATA: partal_bytes}\t %{GREEDYDATA: total_fubytes}\t %{GREEDYDATA: id: Yovertimeout} {GREEDYDATA: DATA % DATA: ED_DATA {ED_DATA: Y_DATA} md5}\t %{GREEDYDATA:sha1}\t %{GREEDYDATA:sha256}\t %{GREEDYDATA:extracted}
Exim 用のサンプルパターン
EXIM_MSGID [0-9A-Za-z]{6}-[0-9A-Za-z]{6}-[0-9A-Za-z]{2}
EXIM_FLAGS (<=|[-=>*]>|[*]{2 }|==)
EXIM_DATE %{YEAR:exim_year}-%{MONTHNUM:exim_month}-%{MONTHDAY:exim_day} %{TIME:exim_time}
EXIM_PID \[%{POSINT}\]
EXIM_QT ((\d + y)?( \d + w)?( \d + d)?( \d + h)?( \d + m)?( \d + s)?)
EXIM_EXCLUDE_TERMS (メッセージは凍結されています | (開始 | 終了) キューの実行 | 警告: | 再試行時間に達していません | (IPアドレス | ホスト) に (IPアドレス | ホスト名) が見つかりません | SMTPコマンドの読み取り中に予期しない切断 | 即時配信なし | | 別のプロセスがこのメッセージを処理しています)
EXIM_REMOTE_HOST (H=(%{NOTSPACE:remote_hostname} )?( \(%{NOTSPACE:remote_heloname}\) )? \[%{IP:remote_host}\])
EXIM_INTERFACE (I=\[%{IP:exim_interface}\](:%{ NUMBER:exim_interface_port}))
EXIM_PROTOCOL (P =%{ NOTSPACE:protocol})
EXIM_MSG_SIZE (S =%{ 数: exim_msg_size})
EXIM_HEADER_ID (id =%{ NOTSPACE:exim_header_id})
EXIM_SUBJECT (T =%{ QS:exim_subject})
Cisco ファイアウォール用のサンプルパターン
"" "NetScreenファイアウォールログ" ""
NETSCREENSESSIONLOG %{SYSLOGTIMESTAMP:date} %{IPORHOST=action} %{IPORHOST:device} %{WORD:device_id}%{DATA}: start_time =%{ QUOTEDSTRING: start_prog_D service=} {%st_polc_D service: src} {_サービスへaction} sent =%{ INT:sent} rcvd =%{ INT:rcvd} src =%{ IPORHOST: src_edport =} %INT =%{ IPORHOST:src_ip} src_port =%{ INT:src_port} dst_port={INT: dst_slatx_ed_reason} {INT: dst_slatx_c_ed_d_al_c_reme: ip={}} {IPsr_sr_sr_c_c_resist_
"" "== Cisco ASA ===" """
CISCO_TAGGED_SYSLOG ^<%{ POSINT:syslog_pri }>%{ CISCOTIMESTAMP:timestamp}( %{SYSLOGHOST:sysloghost})? ?: %%{ CISCOTAG:ciscotag}:
CISCOTIMESTAMP %{MONTH} + %{MONTHDAY}(?: %{YEAR})? % {時間}
CISCOTAG [A-Z0-9]+-%{INT}-(?:[A-Z0-9_]+)
"" "一般的な粒子" ""
CISCO_ACTION Built | ティアダウン | 拒否 | 拒否された | 要求された | 許可された | ACLによって拒否された | 破棄された | est-allowed | Dropping | created | deleted
CISCO_REASON重複TCP SYN | 出力インターフェイスの検索に失敗しました | 無効なトランスポートフィールド | 一致する接続がありません | DNSレスポンス | DNSクエリ |(?:%{ WORD}\s *)*
CISCO_DIRECTIONインバウンド | インバウンド | アウトバウンド | アウトバウンド
CISCO_INTERVALファーストヒット |%{ INT}-秒間隔
CISCO_XLATE_TYPE静的 | 動的
"" "ASA-1-104001" ""
CISCOFW104001 \((?:Primary | Secondary)\) ACTIVE - %{GREEDYDATA:switch_reason} への切り替え
"" "ASA-1-104002" ""
CISCOFW104002 \((?:Primary | Secondary)\) STANDBY - %{GREEDYDATA:switch_reason} への切り替え
"" "ASA-1-104003" ""
CISCOFW104003 \((?:Primary | Secondary)\) FAILED \に切り替えます。
"" "ASA-1-104004" ""
CISCOFW104004 \((?:Primary | Secondary)\) OK \に切り替えます。
"" "ASA-1-105003" ""
CISCOFW105003 ((?:Primary | Secondary)) にMonitoring [Ii] ユーザインタフェース詳細 %{GREEDYDATA:interface_name} 待機
"" "ASA-1-105004" ""
CISCOFW105004 \((?:Primary | Secondary)\) [Ii]nterface %{GREEDYDATA:interface_name} normalでのモニタリング
"" "ASA-1-105005" ""
CISCOFW105005 \((?:Primary | Secondary)\) [Ii]nterface %{GREEDYDATA:interface_name} でメイトとのフェールオーバー通信が失われました
"" "ASA-1-105008" ""
CISCOFW105008 \((?:Primary | Secondary)\) [Ii]nterface %{GREEDYDATA:interface_name} のテスト
"" "ASA-1-105009" ""
CISCOFW105009 \((?:Primary | Secondary)\) [Ii]nterface %{GREEDYDATA:interface_name} でのテスト (?: 合格 | 失敗)
"" "ASA-2-106001" ""
CISCOFW106001 %{CISCO_DIRECTION: 方向} %{WORD: プロトコル} 接続 %{CISCO_ACTION: アクション} から %{IP:src_ip}/%{INT:src_port} に %{IP:dst_ip}/%{INT:dst_port} フラグ %{GREEDYDATA:tcp_flags} インターフェイス上で %{GREEDYDATA: インタフェース}
"" ASA-2-106006、ASA-2-106007、ASA-2-106010 """
CISCOFW106006_106007_106010 %{CISCO_ACTION:action} %{CISCO_DIRECTION:direction} %{WORD:protocol} (?:from | src) %{IP:src_ip}/%{INT:src_port}(\(%{DATA:src_fwuser}\))? (?:to|dst) %{IP:dst_ip}/%{INT:dst_port}(\(%{DATA:dst_fwuser}\))? (?:on interface %{DATA:interface}| %{CISCO_REASON:reason} による)
"" "ASA-3-106014" ""
CISCOFW106014 %{CISCO_ACTION:action} %{CISCO_DIRECTION:direction} %{WORD:protocol} src %{DATA:src_interface }:%{ IP:src_ip}(\(%{DATA:src_fwuser}\))? dst %{DATA:dst_interface}:%{IP:dst_ip}(\(%{DATA:dst_fwuser}\))? \(タイプ %{INT:icmp_type} 、コード %{INT:icmp_code}\)
"" "ASA-6-106015" ""
CISCOFW106015 %{CISCO_ACTION:action} %{WORD:protocol} \(%{DATA:policy_id}\) %{IP:src_ip}/%{INT:src_port} から %{IP:dst_ip}/%{INT:dst_port} は %{DATA:tcp_flags} をインターフェース % {GREYinterface
"" "ASA-1-106021" ""
CISCOFW106021 %{CISCO_ACTION:action} %{WORD:protocol} インターフェイス %{GREEDYDATA:interface} の %{IP:src_ip} から %{IP:dst_ip} へのリバースパスチェック
"" "ASA-4-106023" ""
CISCOFW106023 %{CISCO_ACTION:action}(プロトコル)? %{WORD:protocol} src %{DATA:src_interface }:%{ DATA:src_ip}(/%{INT:src_port})? ( \(%{DATA:src_fwuser}\))? dst %{DATA:dst_interface }:%{ DATA:dst_ip}(/%{INT:dst_port})? ( \(%{DATA:dst_fwuser}\))? ( \(タイプ %{INT:icmp_type}, code %{INT:icmp_code}\))? by access-group "? %{DATA:policy_id}"? の [%{DATA:hashcode1} 、%{DATA:hashcode2} の]
"" ASA-4-106100、ASA-4-106102、ASA-4-106103 """
CISCOFW106100_2_3アクセスリスト %{NOTSPACE:policy_id} %{CISCO_ACTION: アクション} %{WORD: プロトコル} ユーザー '%{DATA:src_fwuser}' %{DATA:src_interface}/%{IP:src_ip} (%{INT:src_port} の) -> %{DATA:dst_interface}/%{IP:dst_ip} (%{INT:dst_port} の) ヒットcnt %{INT:hit_count} %{CISCO_INTERVAL: 間隔} の [%{DATA:hashcode1} 、%{DATA:hashcode2} の]
"" "ASA-5-106100" ""
CISCOFW106100アクセスリスト %{NOTSPACE:policy_id} %{CISCO_ACTION: アクション} %{WORD: プロトコル} %{DATA:src_interface}/%{IP:src_ip} (%{INT:src_port} の) ((%{DATA:src_fwuser} の))? -> %{DATA:dst_interface}/%{IP:dst_ip}\(%{INT:dst_port}\)(\(%{DATA:src_fwuser}\))? hit-cnt %{INT:hit_count} %{CISCO_INTERVAL:interval} \[%{DATA:hashcode1}, %{DATA:hashcode2}\]
"" "ASA-6-110002" ""
%{DATA:src_interface }:%{ IP:src_ip}/%{INT:src_port} から %{IP: src_port}/%{INT:src_port} から %{IP:dst_ip}/%{INT:dst_port} の %{CISCO_REASON:reason}
"" "ASA-6-302010" ""
CISCOFW302010 %{INT:connection_count} 使用中、%{INT:connection_count_max} 最も使用されている
"" ASA-6-302013、ASA-6-302014、ASA-6-302015、ASA-6-302016 """
CISCOFW302013_302014_302015_302016 %{CISCO_ACTION:action}(?: %{CISCO_DIRECTION:direction})? %{WORD:protocol} connection %{INT:connection_id} for %{DATA:src_interface }:%{ IP:src_ip}/%{INT:src_port}( \(%{IP:src_mapped_ip}/%{INT:src_mapped_port}\))? ( \(%{DATA:src_fwuser}\))? %{DATA:dst_interface }:%{ IP:dst_ip}/%{INT:dst_port}( \(%{IP:dst_mapped_ip}/%{INT:dst_mapped_port}\))? ( \(%{DATA:dst_fwuser}\))? (duration %{TIME:duration} bytes %{INT:bytes})?(?: %{CISCO_REASON:reason})? ( \(%{DATA: ユーザー}\))?
"" "ASA-6-302020、ASA-6-302021" ""
CISCOFW3020_302021 %{CISCO_ACTION:action}(?: %{CISCO_DIRECTION:direction})? %{WORD:protocol} connection for faddr %{IP:dst_ip}/%{INT:icmp_seq_num}(?:\(%{DATA:fwuser}\))? gaddr %{IP:src_xlated_ip}/%{INT:icmp_code_xlated} laddr %{IP:src_ip}/%{INT:icmp_code}( \(%{DATA:user}\))?
"" "ASA-6-305011" ""
CISCOFW305011 %{CISCO_ACTION:action} %{CISCO_XLATE_TYPE:xlate_type} %{WORD:protocol} の %{DATA:src_interface }:%{ IP:src_ip}(/%{INT:src_port}) からの翻訳? ( \(%{DATA:src_fwuser}\))? to %{DATA:src_xlated_interface }:%{ IP:src_xlated_ip}/%{DATA:src_xlated_port}
"" ASA-3-313001、ASA-3-313004、ASA-3-313008 """
CISCOFW313001_313004_313008 %{CISCO_ACTION:action} %{WORD:protocol} type =%{ INT:icmp_type}, code =%{ INT:icmp_code} from %{IP:src_ip} on interface %{DATA:interface}( to %{IP:dst_ip})?
"" "ASA-4-313005" ""
CISCOFW313005 %{CISCO_REASON:reason} for %{WORD:protocol} エラーメッセージ: %{WORD:err_protocol} src %{DATA:err_src_interface }:%{ IP:err_src_ip}(\(%{DATA:err_src_fwuser}\))? dst %{DATA:err_dst_interface}:%{IP:err_dst_ip}(\(%{DATA:err_dst_fwuser}\))? \(type %{INT:err_icmp_type}, code %{INT:err_icmp_code}\) on %{DATA:interface} interface\. Original IP payload: %{WORD:protocol} src %{IP:orig_src_ip}/%{INT:orig_src_port}(\(%{DATA:orig_src_fwuser}\))? dst %{IP:orig_dst_ip}/%{INT:orig_dst_port}(\(%{DATA:orig_dst_fwuser}\))?
"" "ASA-5-321001" ""
CISCOFW321001システムのリソース '%{WORD:resource_name}' 制限が %{POSINT:resource_limit} に達しました
"" "ASA-4-402117" ""
CISCOFW402117 %{WORD:protocol}: %{IP:src_ip} から %{IP:dst_ip} までの非IPSecパケット \(protocol= %{WORD:orig_protocol}\) を受信
"" "ASA-4-402119" ""
CISCOFW402119 %{WORD:protocol}: %{WORD:orig_protocol} packet \(SPI= %{DATA:spi}, シーケンス番号=%{DATA:seq_num}\) を %{IP:src_ip} \(user= %{DATA:user}\) から %{IP:dst_ip} まで受信しました。"" "ASA-4-419001" ""
CISCOFW419001 %{CISCO_ACTION:action} %{WORD:protocol} パケット %{DATA:src_interface }:%{ IP:src_ip}/%{INT:src_port} から %{DATA:dst_interface }:%{ IP:dst_ip}/%{INT:dst_port} {理由: %
"" "ASA-4-419002" ""
CISCOFW419002 %{CISCO_REASON:reason} %{DATA:src_interface }:%{ IP:src_ip}/%{INT:src_port} から %{DATA:dst_interface }:%{ IP:dst_ip}/%{INT:dst_port} から異なる初期シーケンス番号を持つ
"" "ASA-4-500004" ""
CISCOFW500004 %{CISCO_REASON:reason} for protocol =%{ WORD:protocol} 、%{IP:src_ip}/%{INT:src_port} から %{IP:dst_ip}/%{INT:dst_port}
"" "ASA-6-602303、ASA-6-602304" ""
CISCOFW602303_602304 %{WORD:protocol}: %{CISCO_DIRECTION:direction} %{GREEDYDATA:tunnel_type} SA \(SPI= %{DATA:spi}\)
"" ASA-7-710001、ASA-7-710002、ASA-7-710003、ASA-7-710005、ASA-7-710006 """
CISCOFW710001_710002_710003_710005_710006 %{WORD:protocol} (?: リクエスト | アクセス) %{CISCO_ACTION:action} from %{IP:src_ip}/%{INT:src_port} to %{DATA:dst_interface }:%{ IP:dst_ip}/%{INT:dst_port}
"" "ASA-6-713172" ""
CISCOFW713172 Group = %{GREEDYDATA:group} 、IP = %{IP:src_ip} 、自動NAT検出ステータス:\s + Remote end\s * %{DATA:is_remote_natted}\s * NATデバイスの背後 \s + This\s + end\s * s *
"" "ASA-4-733100" ""
CISCOFW733100 \[\s * %{DATA:drop_type}\s *\] drop %{DATA:drop_rate_id} を超えました。 現在のバーストレートは1秒あたり %{INT:drop_rate_current_burst} 、最大設定レートは %{INT:drop_rate_max_burst} です。現在の平均レートは1秒あたり %{INT:drop_rate_current_avg} 、最大設定レートは %{INT:drop_rate_max_avg} です。"" "=エンドCisco ASA ===" """
"" "Shorewallファイアウォールログ" ""
SHOREWALL (%{SYSLOGTIMESTAMP:timestamp}) (%{WORD:nf_host}) kernel: 。 *Shorewall:(%{WORD:nf_action1})?:(%{WORD:nf_action2})?. *IN=(%{USERNAME:nf_in_interface})?. *(OUT= *MAC=(%{COMMONMAC:nf_dst_mac}):(%{COMMONMAC:nf_src_mac})? |OUT=%{USERNAME:nf_out_interface}). *SRC=(%{IPV4:nf_src_ip}). *DST=(%{IPV4:nf_dst_ip}). *LEN=(%{WORD:nf_len}).? *TOS=(%{WORD:nf_tos}).? *PREC=(%{WORD:nf_prec}).? *TTL=(%{INT:nf_ttl}).? *ID=(%{INT:nf_id}).? *PROTO=(%{WORD:nf_protocol}).? *SPT=(%{INT:nf_src_port}?. *DPT=%{INT:nf_dst_port}?. *)
"" "=End Shorewall" ""
HAProxy 用のサンプルパターン
"" これらのパターンはhaproxy-1.4.15でテストされました """
"" haproxyログ形式のドキュメントは、次のリンクにあります。"""
"" "http://code.google.com/p/haproxy-docs/wiki/HTTPLogFormat" ""
"" "http://code.google.com/p/haproxy-docs/wiki/TCPLogFormat" ""
HAPROXYTIME (?! <[0-9])%{HOUR:haproxy_hour }:%{ MINUTE:haproxy_minute}(?::%{ 第2: haproxy_second})(?![ 0-9])
HAPROXYDATE %{MONTHDAY:haproxy_month}/%{MONTH:haproxy_month}/%{YEAR:haproxy_year }:%{ HAPROXYTIME:haproxy_time} %{INT: haproxy_ミリ秒}
"" haproxy.cfgでキャプチャされているものを解析するために、これらのデフォルトパターンをオーバーライドします """
HAPROXYCAPTUREDREQUESTHEADERS %{DATA:captured_request_headers}
HAPROXYCAPTUREDRESPONSEHEADERS %{DATA:captured_response_headers}
"" "例:" ""
"" これらのhaproxy設定行は、キャプチャされたログにデータを追加します """
以下のパターンによる "" 。 カスタムパターンのディレクトリに "" "に配置します。"" "デフォルトをオーバーライドします。" ""
"""
"" "キャプチャ要求ヘッダーホストlen 40" ""
"" キャプチャ要求ヘッダーX-Forwarded-For len 50 """
"" "キャプチャ要求ヘッダーAccept-Language len 50" ""
"" "キャプチャ要求ヘッダーReferer len 200" ""
"" "キャプチャ要求ヘッダーUser-Agent len 200" ""
"""
"" "キャプチャ応答ヘッダーContent-Type len 30" ""
"" "キャプチャ応答ヘッダーContent-Encoding len 10" ""
"" "キャプチャ応答ヘッダーキャッシュ-制御len 200" ""
"" "キャプチャレスポンスヘッダーLast-Modified len 200" ""
"" "haproxy 'httplog '行を解析する" ""
HAPROXYHTTPBASE %{IP:client_ip }:%{ INT:client_port} \[%{HAPROXYDATE:accept_date}\] %{NOTSPACE:backend_name}/%{NOTSPACE: backend_duration: _time_queue} {backtime_connect:_% /ACE} {INT: _backtimeend_time /_接続}}} http_status_code} %{NOTSPACE:bytes_read} %{DATA:captured_request_cookie} %{DATA: captured_INT }}% {NOTSPACE:termination_state}/%{INT:actconn}/%{INT:feconn}/%{INT:beconn}: becue {% /TACE}) ( )? (\{%{ HAPROXYCAPTUREDRESPONSEHEADERS }\})? ( )?"( <BADREQ>|(%{WORD:http_verb} (%{URIPROTO:http_proto}://)?(?:%{ USER:http_user}(?::[^ @]*))? @)?(?:%{ URIHOST:http_host})?(?:%{ URIPATHPARAM:http_request})?( HTTP/%{NUMBER:http_version})?)
HAPROXYHTTP (?:%{ SYSLOGTIMESTAMP:syslog_timestamp}|%{ TIMESTAMP_ISO8601:timestamp8601}) %{IPORHOST:syslog_server} %{SYSLOGPROG}: %{HAPROXYHTTPBASE}
"" "haproxy 'tcplog '行を解析する" ""
HAPROXYTCP (?:%{ SYSLOGTIMESTAMP:syslog_timestamp }%%{ TIMESTAMP_ISO8601:timestamp8601}}) %{IPORHOST:syslog_server}: %{IP: client_SPAMP} :%{ INT: client_SP_name /TACE {HAPRO_NO_deddate: \name} time_duration} %{NOTSPACE:bytes_read} %{NOTSPACE:termination_state} %{INT:actconn}/%{INT:feconn}/%{INT:beconn}/%{INT:srvconn}/%{NOTSPACE:retries} %{INT:srv_queue}/%{INT:backend_queue}
Java 用のサンプルパターン
JAVACLASS (?:[a-zA-Z$_][a-zA-Z$_0-9]* \) *[a-zA-Z$_][a-zA-Z$_0-9]*
"" スペースは、「ネイティブメソッド」や「未知のソース」などの特殊なケースに一致するように許可された文字です """
JAVAFILE (?:[A-Za-z0-9_。 -]+)
"" "特別な <init> メソッドを許可する" ""
JAVAMETHOD (?:(<init>)|[a-zA-Z$_][a-zA-Z$_0-9]*)
"" 「ネイティブメソッド」または「不明なソース」の特別な場合、行番号はオプションです "" ""
JAVASTACKTRACEPART %{SPACE}at %{JAVACLASS:class}\。 %{JAVAMETHOD:method}\(%{JAVAFILE:file}(?::%{NUMBER:line})? \)
"" "Javaログ" ""
JAVATHEAD (?:[A-Z]{2}-プロセッサ [\d]+)
JAVACLASS (?:[a-zA-Z0-9-]+\.) +[A-Za-z0-9$]+
JAVAFILE (?:[A-Za-z0-9_。 -]+)
JAVASTACKTRACEPART at %{JAVACLASS:class}\。 %{WORD:method}\(%{JAVAFILE:file }:%{ NUMBER:line}\)
JAVALOGMESSAGE (。) *)
"" MMM dd, yyyy HH:mm:ss eg: Jan 9、2014 7:13:13 AM """
CATALINA_DATESTAMP %{MONTH} %{MONTHDAY}, 20%{YEAR} %{HOUR }:? %{MINUTE}(?::? %{SECOND}) (?:AM | PM)
"" yyyy-MM-dd HH:mm:ss、SSS ZZZ例: 2014-01-09 17:32:25、527 -0800 """
TOMCAT_DATESTAMP 20%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR }:? %{MINUTE}(?::? %{SECOND}) %{ISO8601_TIMEZONE}
CATALINALOG %{CATALINA_DATESTAMP:timestamp} %{JAVACLASS:class} %{JAVALOGMESSAGE:logmessage}
"" "2014-01-09 20:03:28,269 -0800 | ERROR | com.example.service.ExampleService-予期しない何かが起こった..." """
TOMCATLOG %{TOMCAT_DATESTAMP:timestamp} \| %{LOGLEVEL:level} \| %{JAVACLASS:class} - %{JAVALOGMESSAGE:logmessage}
Junos 用のサンプルパターン
"" JUNOS 11.4 RT_FLOWパターン """
RT_FLOW_EVENT (RT_FLOW_SESSION_CREATE | RT_FLOW_SESSION_CLOSE | RT_FLOW_SESSION_DENY)
RT_FLOW1 %{RT_FLOW_EVENT:event}: %{GREEDYDATA:close-reason}: %{IP:src-ip}/%{INT:src-port}->%{ IP:dst-ip}/%{INT:dst-port} %{DATA:service} %{IP:nat-src-ip}/%{INT:nat-src-port}->%{ IP:nat-dst-ip}/%{INT:nat-dst-port} %{DATA:src-nat-rule-name} %{DATA:dst-nat-rule-name} %{INT:protocol-id} %{DATA:policy-name} %{DATA:from-zone} to-zone} %{INT:session-id} \d +\(%{DATA:sent}\) \d +\(%{DATA:received}\) %{INT: 経過時間} 。 *
RT_FLOW2 %{RT_FLOW_EVENT:event}: セッション作成 %{IP:src-ip}/%{INT:src-port}->%{ IP:dst-ip}/%{INT:dst-port} %{DATA:service} %{IP:nat-src-ip}/%{INT:nat-src-port}->%{ IP:nat-dst-ip}/%{INT:nat-dst-port} %{DATA:src-nat-rule-name} %{DATA:dst-nat-rule-name} %{INT:protocol-id} %{DATA:policy-name} %{DATA:from-zone} %{DATA:to-zone} %{INT:session-id} 。 *
RT_FLOW3 %{RT_FLOW_EVENT: イベント}: セッション拒否 %{IP:src-ip}/%{INT:src-port}->%{ IP:dst-ip}/%{INT:dst-port} %{DATA:service} %{INT:protocol-id}\(\d\) %{DATA:policy-name} %{DATA:from-zone} %{DATA:to-zone} 。 *
Linux Syslog 用のサンプルパターン
SYSLOG5424PRINTASCII [! -~]+
SYSLOGBASE2 (?:%{ SYSLOGTIMESTAMP:timestamp }|%{ TIMESTAMP_ISO8601:timestamp8601}) (?:%{ SYSLOGACILITY} )? %{SYSLOGHOST:logsource}+(?: %{SYSLOGPROG }:|)
SYSLOGPAMSESSION %{SYSLOGBASE} (? =%{GREEDYDATA:message})%{WORD:pam_module}\(%{DATA:pam_caller}\): session %{WORD:pam_session_state} for user %{USERNAME:username}(?: by %{GREEDYDATA:pam_by})?
CRON_ACTION [A-Z ]+
CRONLOG %{SYSLOGBASE} \(%{USER:user}\) %{CRON_ACTION:action} \(%{DATA:message}\)
SYSLOGLINE %{SYSLOGBASE2} %{GREEDYDATA:message}
"" IETF 5424 syslog(8) 形式 (http://www.rfc-editor.org/info/rfc5424参照) """
SYSLOG5424PRI <%{ NONNEGINT:syslog5424_pri}>
SYSLOG5424SD \[%{DATA}\]+
SYSLOG5424BASE %{SYSLOG5424PRI }%{ NONNEGINT:syslog5424_ver} +(?:%{ TIMESTAMP_sysy8601: syslog5424_ts}|-) +(?:%{ HOSTNAME: sysloglog5424_PR24_host} |-soglog_S24_SLO_SCO_SLO_S24_SIGII} (-) {SLO_SLO_SLO_SIGII: SLO_
SYSLOG5424LINE %{SYSLOG5424BASE} + %{GREEDYDATA:syslog5424_msg}
Mcollective 用のサンプルパターン
"" これらは複数行のイベントである可能性があることを忘れないでください。"""
MCOLLECTIVE ., \[%{TIMESTAMP_ISO8601:timestamp} #%{ POSINT:pid}\]%{SPACE }%{ LOGLEVEL:event_level}
MCOLLECTIVEAUDIT %{TIMESTAMP_ISO8601:timestamp}:
MongoDB 用のサンプルパターン
MONGO_LOG %{SYSLOGTIMESTAMP:timestamp} \[%{WORD:component}\] %{GREEDYDATA:message}
MONGO_QUERY \{ (? <={ ). *(? = } ntoreturn :) \}
MONGO_SLOWQUERY %{WORD} %{MONGO_WORDDASH: データベース} \ %{MONGO_WORDDASH:collection} %{WORD}: %{MONGO_QUERY:query} %{WORD}:%{NONNEGINT:ntoreturn} %{WORD}:%{NONNEGINT:ntoskip} %{WORD}:%{NONNEGINT:nscanned}.*nreturned:%{NONNEGINT:nreturned}.. + (? <duration>[0-9]+)ms
MONGO_WORDDASH \b[\w-]+\b
MONGO3_SEVERITY \w
MONGO3_COMPONENT %{WORD}|-
MONGO3_LOG %{TIMESTAMP_ISO8601:timestamp} %{MONGO3_SEVERITY:severity} %{MONGO3_COMPONENT:component }%{ SPACE}(?:\[%{DATA:context}\]))? %{GREEDYDATA:message}
Nagios 用のサンプルパターン
NAGIOSTIME \[%{NUMBER:nagios_epoch}\]
"" "nagiosログタイプ" ""
NAGIOS_TYPE_CURRENT_SERVICE_STATE現在のサービス状態
NAGIOS_TYPE_CURRENT_HOST_STATE現在のホストステート
NAGIOS_TYPE_SERVICE_NOTIFICATIONサービス通知
NAGIOS_TYPE_HOST_NOTIFICATIONホスト通知
NAGIOS_TYPE_SERVICE_ALERTサービスアラート
NAGIOS_TYPE_HOST_ALERTホストアラート
NAGIOS_TYPE_SERVICE_FLAPPING_ALERTサービス折り返し警告
NAGIOS_TYPE_HOST_FLAPPING_ALERTホストフラッピングアラート
NAGIOS_TYPE_SERVICE_DOWNTIME_ALERTサービスダウンタイム警告
NAGIOS_TYPE_HOST_DOWNTIME_ALERT HOSTダウンタイムアラート
NAGIOS_TYPE_PASSIVE_SERVICE_CHECK PASSIVEサービスチェック
NAGIOS_TYPE_PASSIVE_HOST_CHECK PASSIVE HOST CHECK
NAGIOS_TYPE_SERVICE_EVENT_HANDLERサービスイベントHANDLER
NAGIOS_TYPE_HOST_EVENT_HANDLER HOSTイベントHANDLER
NAGIOS_TYPE_EXTERNAL_COMMAND外部コマンド
NAGIOS_TYPE_TIMEPERIOD_TRANSITION TIMEPERIOD TRANSITION
"" "外部チェックタイプ" ""
NAGIOS_EC_DISABLE_SVC_CHECK DISABLE_SVC_CHECK
NAGIOS_EC_ENABLE_SVC_CHECK ENABLE_SVC_CHECK
NAGIOS_EC_DISABLE_HOST_CHECK DISABLE_HOST_CHECK
NAGIOS_EC_ENABLE_HOST_CHECK ENABLE_HOST_CHECK
NAGIOS_EC_PROCESS_SERVICE_CHECK_RESULT PROCESS_SERVICE_CHECK_RESULT
NAGIOS_EC_PROCESS_HOST_CHECK_RESULT PROCESS_HOST_CHECK_RESULT
NAGIOS_EC_SCHEDULE_SERVICE_DOWNTIME SCHEDULE_SERVICE_DOWNTIME
NAGIOS_EC_SCHEDULE_HOST_DOWNTIME SCHEDULE_HOST_DOWNTIME
NAGIOS_EC_DISABLE_HOST_SVC_NOTIFICATIONS DISABLE_HOST_SVC_NOTIFICATIONS
ENABLE_HOST_SVC_NOTIFICATIONS
NAGIOS_EC_DISABLE_HOST_NOTIFICATIONS DISABLE_HOST_NOTIFICATIONS
NAGIOS_EC_ENABLE_HOST_NOTIFICATIONS ENABLE_HOST_NOTIFICATIONS
NAGIOS_EC_DISABLE_SVC_NOTIFICATIONS DISABLE_SVC_NOTIFICATIONS
NAGIOS_EC_ENABLE_SVC_NOTIFICATIONS ENABLE_SVC_NOTIFICATIONS
NAGIOS_WARNING警告: %{ スペース }%{ GREEDYDATA:nagios_message}
NAGIOS_CURRENT_SERVICE_STATE %{NAGIOS_TYPE_CURRENT_SERVICE_STATE:nagios_type}: %{DATA:nagios_hostname };%{ DATA:nagios_service };{ DATA:nagios_state };{ DATA:nagios_statetype }%;{ DATA:nagios_statecode }%{ DATA: nagios_data: nagios_message}}
NAGIOS_CURRENT_HOST_STATE %{NAGIOS_TYPE_CURRENT_HOST_STATE:nagios_type}: %{DATA:nagios_hostname };{ DATA:nagios_state };{ DATA:nagios_statetype }%;{ DATA:nagios_statecode }%{ DATA:nagios_message}
NAGIOS_SERVICE_NOTIFICATION %{NAGIOS_TYPE_SERVICE_NOTIFICATION:nagios_type}: %{DATA:nagios_notifyname }%;{ DATA:nagios_hostname };%{ DATA:nagios_service }%;{ DATA:nagios_state };{ DATA:nagios_contact} {GREYDATA: nas_message}
NAGIOS_HOST_NOTIFICATION %{NAGIOS_TYPE_HOST_NOTIFICATION:nagios_type}: %{DATA:nagios_notifyname} ;{ DATA:nagios_hostname} %;{ DATA:nagios_state} ;{ DATA:nagios_contact}
NAGIOS_SERVICE_ALERT %{NAGIOS_TYPE_SERVICE_ALERT:nagios_type}: %{DATA:nagios_hostname };%{ DATA:nagios_service };%{ DATA:nagios_state} {DATA: nagios_stat_ED_message} {Negos_DATA: Ynasiavee}
NAGIOS_HOST_ALERT %{NAGIOS_TYPE_HOST_ALERT:nagios_type}: %{DATA:nagios_hostname };%{ DATA:nagios_state };%{ DATA:nagios_statelevel };{ NUMBER:nagios_attempt} {GREYDATA: nas_message}
NAGIOS_SERVICE_FLAPPING_ALERT %{NAGIOS_TYPE_SERVICE_FLAPPING_ALERT:nagios_type}: %{DATA:nagios_hostname };%{ DATA:nagios_service }%;{ DATA:nagios_state };%{ GREEDYDATA:nagios_message}
NAGIOS_HOST_FLAPPING_ALERT %{NAGIOS_TYPE_HOST_FLAPPING_ALERT:nagios_type}: %{DATA:nagios_hostname };%{ DATA:nagios_state }%;{ GREEDYDATA:nagios_message}
NAGIOS_SERVICE_DOWNTIME_ALERT %{NAGIOS_TYPE_SERVICE_DOWNTIME_ALERT:nagios_type}: %{DATA:nagios_hostname };%{ DATA:nagios_service }%;{ DATA:nagios_state };%{ GREEDYDATA:nagios_comment}
NAGIOS_HOST_DOWNTIME_ALERT %{NAGIOS_TYPE_HOST_DOWNTIME_ALERT:nagios_type}: %{DATA:nagios_hostname };%{ DATA:nagios_state }%;{ GREEDYDATA:nagios_comment}
NAGIOS_PASSIVE_SERVICE_CHECK %{NAGIOS_TYPE_PASSIVE_SERVICE_CHECK:nagios_type}: %{DATA:nagios_hostname };%{ DATA:nagios_service }%;{ DATA:nagios_state };%{ GREEDYDATA:nagios_comment}
NAGIOS_PASSIVE_HOST_CHECK %{NAGIOS_TYPE_PASSIVE_HOST_CHECK:nagios_type}: %{DATA:nagios_hostname };%{ DATA:nagios_state }%;{ GREEDYDATA:nagios_comment}
NAGIOS_SERVICE_EVENT_HANDLER %{NAGIOS_TYPE_SERVICE_EVENT_HANDLER:nagios_type}: %{DATA:nagios_hostname };{ DATA:nagios_service };%{ DATA:nagios_state }%{ DATA:nagios_statelevel }%{ DATA:nagios_event_handler_name}
NAGIOS_HOST_EVENT_HANDLER %{NAGIOS_TYPE_HOST_EVENT_HANDLER:nagios_type}: %{DATA:nagios_hostname }%;{ DATA:nagios_state };{ DATA:nagios_statelevel }%;{ DATA:nagios_event_handler_name}
NAGIOS_TIMEPERIOD_TRANSITION %{NAGIOS_TYPE_TIMEPERIOD_TRANSITION:nagios_type}: %{DATA:nagios_service }%;{ DATA:nagios_unknown1 };%{ DATA:nagios_unknown2}
"" "ホスト&サービスチェックを無効にする" ""
NAGIOS_EC_LINE_DISABLE_SVC_CHECK %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_DISABLE_SVC_CHECK:nagios_command };%{ DATA:nagios_hostname }%;{ DATA:nagios_service}
NAGIOS_EC_LINE_DISABLE_HOST_CHECK %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_DISABLE_HOST_CHECK:nagios_command };%{ DATA:nagios_hostname}
"" "ホスト&サービスチェックの有効化" """
NAGIOS_EC_LINE_ENABLE_SVC_CHECK %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_ENABLE_SVC_CHECK:nagios_command };%{ DATA:nagios_hostname }%;{ DATA:nagios_service}
NAGIOS_EC_LINE_ENABLE_HOST_CHECK %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_ENABLE_HOST_CHECK:nagios_command };%{ DATA:nagios_hostname}
"" "プロセスホスト&サービスチェック" ""
NAGIOS_EC_LINE_PROCESS_SERVICE_CHECK_RESULT %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_PROCESS_SERVICE_CHECK_RESULT:nagios_command };%{ DATA:nagios_hostname }%;{ DATA:nagios_service };{ DATA:nagios_state }%{ DATA:nagios_state }%{ GREEDYDATA:nagios_check_result}
NAGIOS_EC_LINE_PROCESS_HOST_CHECK_RESULT %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_PROCESS_HOST_CHECK_RESULT:nagios_command };%{ DATA:nagios_hostname }%;{ DATA:nagios_state };%{ GREEDYDATA:nagios_check_result}
"" "ホストとサービスの通知を無効にする" ""
NAGIOS_EC_LINE_DISABLE_HOST_SVC_NOTIFICATIONS %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_DISABLE_HOST_SVC_NOTIFICATIONS:nagios_command };%{ GREEDYDATA:nagios_hostname}
NAGIOS_EC_LINE_DISABLE_HOST_NOTIFICATIONS %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_DISABLE_HOST_NOTIFICATIONS:nagios_command };%{ GREEDYDATA:nagios_hostname}
NAGIOS_EC_LINE_DISABLE_SVC_NOTIFICATIONS %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_DISABLE_SVC_NOTIFICATIONS:nagios_command };%{ DATA:nagios_hostname }%;{ GREEDYDATA:nagios_service}
"" "ホストとサービスの通知を有効にする" ""
NAGIOS_EC_LINE_ENABLE_HOST_SVC_NOTIFICATIONS %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_ENABLE_HOST_SVC_NOTIFICATIONS:nagios_command };%{ GREEDYDATA:nagios_hostname}
NAGIOS_EC_LINE_ENABLE_HOST_NOTIFICATIONS %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_ENABLE_HOST_NOTIFICATIONS:nagios_command };%{ GREEDYDATA:nagios_hostname}
NAGIOS_EC_LINE_ENABLE_SVC_NOTIFICATIONS %{NAGIOS_TYPE_EXTERNAL_COMMAND:nagios_type}: %{NAGIOS_EC_ENABLE_SVC_NOTIFICATIONS:nagios_command };%{ DATA:nagios_hostname }%;{ GREEDYDATA:nagios_service}
"" ホストとサービスのダウンタイムのスケジュール """
NAGIOS_EC_LINE_SCHEDULE_HOST_DOWNTIME %{NAGIOS_TYPE_EXTERNAL_COMMAND: nagios_comment}: %{NAGIOS_EC_SCHEDULE_HOST_DOWNTIME:nagios_command };%{ DATA:nagios_hostname };{ NUMBER:nagios_start_time };%{ NUMBER:nagios_end_time };{ nagios_duration: nauthor }}{ nMBER: DATA}}
"" "マッチングラインの終了" ""
NAGIOS_EC_LINE_DISABLE_HOST_CHECK % NAGIOS_EC_LINE_ENABLE_SVC_CHECK EGIOSLOGLINE % {{NAGIOS_EV_WARNLER }||,% {NGIOS_EVS_WARNLER }||,% {NGIOS_HOSTE__ALERT || {NAGIOS_HOST_{ ICS_SERVE__ALERT} ||{ NAGIOS_SERVE_ALERT} {NOTGE_SER_}|||||||||| {NAGIOGE_| {NAGION {NAGIS_HO_GE_GE_SE
PostgreSQL 用のサンプルパターン
"" "デフォルトのpostgresql pg_log形式パターン" ""
POSTGRESQL %{DATESTAMP:timestamp} %{TZ} %{DATA:user_id} %{GREEDYDATA:connection_id} %{POSINT:pid}
Rails 用のサンプルパターン
RUUID \h{32}
"" "アクション付きレールコントローラ" ""
RCONTROLLER (? <controller>[^#]+)#(? <action>\w +)
"" これはしばしば唯一の行になります: """
RAILS3HEAD (? m)Started %{WORD:verb} "%{URIPATHPARAM:request}" for %{IPORHOST:clientip} at (? <timestamp >%{ YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR }:%{ MINUTE }:%{ SECOND} %{ISO8601_TIMEZONE})
「「」という奇妙な理由で、パラムから {} が削除されています。それが良い考えかどうかはわかりません。」「」
RPROCESSING \W * %{RCONTROLLER} による処理 (?) <format>\S+)(?:\W*Parameters: {%{DATA:params}}\W*)?
RAILS3FOOT完了 %{NUMBER:response }%{ DATA} in %{NUMBER:totalms}ms %{RAILS3PROFILE }%{ GREEDYDATA}
RAILS3PROFILE (?:\ (ビュー: %{NUMBER:viewms}ms \| ActiveRecord: %{NUMBER:activerecordms}ms |\(ActiveRecord: %{NUMBER:activerecordms}ms))?
"" "すべてをまとめる" ""
RAILS3 %{RAILS3HEAD}(?:%{ RPROCESSING})?(? <context>(?:%{DATA}\n)*)(?:%{RAILS3FOOT})?
Redis 用のサンプルパターン
REDISTIMESTAMP %{MONTHDAY} %{MONTH} %{TIME}
REDISLOG \[%{POSINT:pid}\] %{REDISTIMESTAMP:timestamp} \*
Ruby 用のサンプルパターン
RUBY_LOGLEVEL (?: デバグ | 致命的 | エラー | 警告 | 情報)
RUBY_LOGGER [DFEWI], \[%{TIMESTAMP_ISO8601:timestamp} #%{ POSINT:pid}\] * %{RUBY_LOGLEVEL:loglevel} -- %{DATA:progname}: %{GREEDYDATA:message}