アプリケーションログ中の特別なキーワードをリアルタイムで検知したい場合、どうすればいいですか?

たとえば、以下のようなアプリケーションログ中2020010100037キーワードをリアルタイムで検知した場合です。

1. 収集されたログを確認する

2. conf設定する(rsyslogを使用)
※ 80-application.conf → confファイルを作成する

# cd /etc/rsyslog.d/
# vi /etc/rsyslog.d/80-application.conf

3. conffファイルの作成

※InputFileName=”ログのパス”、InputFileTag=”ログタグ”、InputFileSeverity=”重要度”
※ファイル名にワイルドカードを使用する場合は、rsyslogのバージョン8.25以降を使用する必要があります。

#variables required for non-syslog log file forwarding – application log file
#edit on your location

$InputFileName /var/log/application.log
$InputFileTag application:
$InputFileStateFile stat-application

$InputFileSeverity info
$InputFileFacility local7
$InputRunFileMonitor

###### Creates a template for each log file in the Logentries UI
### logic to apply the relevant templates to the different log files

if $programname == ‘application‘ then /var/log/plura/ceelog-127.0.0.1.log;CEETemplate
:programname , isequal, “application” ~

 

4. rsyslogデーモンの再起動

# service rsyslog restart

5. PLURA検出確認

全ログ>システム>主なオブジェクトの列で、[application-name]を確認

 

6. PLURAリアルタイム検出フィルタを登録する

1)2020010100037キーワードのリアルタイム検出登録フィルタ

2)フィルタ>フィルタの管理>フィルタ登録を選択

3)フィルタ登録下部>入力> msg>2020010100037登録