СД
да я видел эту репу
Size: a a a
2021 January 14
СД
ну там не 120 паттернс
OM
не считал, но наверное каждую определенную строку они рассматривают как паттерн
СД
и вот одно мне не понятно, что значит слово перед двоеточием и после, вот взять пример:
DATESTAMP - это как я понял мини-паттерн, более мелкая регулярка
timestamp - а это что? это название переменной в которой будет сохранен сам штамп?
# Default postgresql pg_log format pattern
POSTGRESQL %{DATESTAMP:timestamp} %{TZ} %{DATA:user_id} %{GREEDYDATA:connection_id} %{POSINT:pid}
DATESTAMP - это как я понял мини-паттерн, более мелкая регулярка
timestamp - а это что? это название переменной в которой будет сохранен сам штамп?
OM
и вот одно мне не понятно, что значит слово перед двоеточием и после, вот взять пример:
DATESTAMP - это как я понял мини-паттерн, более мелкая регулярка
timestamp - а это что? это название переменной в которой будет сохранен сам штамп?
# Default postgresql pg_log format pattern
POSTGRESQL %{DATESTAMP:timestamp} %{TZ} %{DATA:user_id} %{GREEDYDATA:connection_id} %{POSINT:pid}
DATESTAMP - это как я понял мини-паттерн, более мелкая регулярка
timestamp - а это что? это название переменной в которой будет сохранен сам штамп?
да, это "преимущество" грока, его патерны могут пользоваться уже определенными паттернами
OM
и вот одно мне не понятно, что значит слово перед двоеточием и после, вот взять пример:
DATESTAMP - это как я понял мини-паттерн, более мелкая регулярка
timestamp - а это что? это название переменной в которой будет сохранен сам штамп?
# Default postgresql pg_log format pattern
POSTGRESQL %{DATESTAMP:timestamp} %{TZ} %{DATA:user_id} %{GREEDYDATA:connection_id} %{POSINT:pid}
DATESTAMP - это как я понял мини-паттерн, более мелкая регулярка
timestamp - а это что? это название переменной в которой будет сохранен сам штамп?
имхо, весьма хреновый патерн)
POSTGRESQL
POSTGRESQL
OM
OM
GREEDYDATA переопределенный, в нем символ переноса строки прямо в конфиге реализован переносом строки.
СД
и сколько тут типов сообщений получится?
СД
или это для одного какого-то сообщения?
СД
под типами имею в виду, что мне не понятно - данный шаблон можно применить к семейству событий или только к одному
OM
у меня такой формат
log_line_prefix = '%t [%p]: [%l-1] db=%d,user=%u,app=%a,client=%h '
log_line_prefix = '%t [%p]: [%l-1] db=%d,user=%u,app=%a,client=%h '
OM
под типами имею в виду, что мне не понятно - данный шаблон можно применить к семейству событий или только к одному
только к постгресным логам
СД
вообще всем?
СД
у них там везде формат одинаковый?
OM
ну постгресные, а другие програмные продукты свои логи генерируют и не проходят пайплайны постгресного
OM
эм...
СД
нет, я про другое, сейчас объясню
СД
вот есть например Auditd, система аудирования в линуксе, у нее есть "типы сообщений", приведу два:
И вот в данном случае можно было сделать либо одну большую регулярку на два события, либо разделить регулярку и сделать две отдельных регулярки:
- одну для события типа EXECVE
- другую для события типа PATH
audispd: node=srv-test-Auditd-01 type=EXECVE msg=audit(1604575502.800:38394): argc=3 a0='sed' a1='-nr' a2='s/^statsdir[[:space:]]+([^[:space:]]+).*$/\\1/p'audispd: node=srv-test-Auditd-01 type=PATH msg=audit(1606132038.725:2471): item=1 name='/home/sdontsov/testfile7' inode=1049370 dev=fc:00 mode=0100664 ouid=1007 ogid=1007 rdev=00:00 nametype=DELETEИ вот в данном случае можно было сделать либо одну большую регулярку на два события, либо разделить регулярку и сделать две отдельных регулярки:
- одну для события типа EXECVE
- другую для события типа PATH