Bitte unterhalb einer Probe Protokollmeldung, die ich von syslogInterceptor in Flume mit syslog-Daten
< 159> 15. April 17.27.31 192.168.100.40 CEF empfange: 0 | Websense | Security | 7.8.1 | 68 | Transaktion erlaubt | 1 | act = erlaubte app = http dvc = 192.168.100.40 dst = 221.135.111.120 host = img-d01.moneycontrol.co.in dpt = 80 src = 172.16.237.89 spt = 55016 suser = LDAP: //172.17.251.11 OU \ = Benutzer, OU \ = migriert, DC \ = abc, DC \ = com/Sourabh Jain ZielTranslatedPort = 38419 rt = 1460721451000 in = 496 out = 6999 requestMethod = GET requestClientApplication = Mozilla/5.0 (Windows NT 6.1; WOW64; rv: 41.0) Gecko/20100101 Firefox/41.0 Grund = - cs1Label = Richtlinie cs1 = Rolle-8 ** Standard cs2Label = DynCat cs2 = 0 cs3Label = Inhaltstyp cs3 = Bild/jpeg cn1Label = DispositionCode cn1 = 1048 cn2Label = ScanDuration cn2 = 3 Anfrage = http://img-d01.moneycontrol.co.in/news_html_files/wealth-experts/abhim1132661059.jpg
Wenn Sie Beobachter, gibt es Schlüsselwerte Paare in den Daten. Gibt es einen Weg, kann ich Werte extrahieren und die Daten speichern. Ich kann den Raum nicht als Trennzeichen verwenden, da einige der Werte im Schlüsselpaar Leerzeichen enthalten. zB suser = LDAP: //172.17.251.11 OU \ = Benutzer, OU \ = Migration, DC \ = abc, DC \ = com/Sourabh S Jain
es gibt Räume zwischen "Sourabh S Jain"
auch beachten, gibt es eine Open-Source-CEF Flume sinken https://github.com/srotya/cef –