[ネットワーク受信]
├─ UDP : imudp(514/udp)
├─ TCP : imtcp(514/tcp) + 任意でTLS
└─ RELP : imrelp(20514/tcp) + 任意でTLS
↓
[入力→Ruleset割当]
└─ (input(type="imtcp" ruleset="rs_in_tcp") など)
↓
[キューイング]
├─ メインキュー(各Rulesetごと)
└─ アクションキュー(各actionごと)※重い出力は専用キュー推奨
↓
[前処理/パース]
├─ タイムスタンプ正規化 (RSYSLOG_*)
├─ ホスト名/送信元解決(UseDNS offなら逆引きしない)
├─ 形式判定 (RFC3164/5424)
└─ 追加パース(mmnormalize, mmpstrucdata 等 任意)
↓
[フィルタ/ルーティング]
├─ if ... then ...(severity, facility, programname, hostname など)
└─ Ruleset内で複数分岐可能
↓
[出力(action)]
├─ ファイル出力: omfile(テンプレで動的パス)
├─ 転送: omfwd/omrelp(上流へ再送)
├─ ミドル: omkafka, omelasticsearch, omhttp
└─ 健全化: 失敗時の再試行/ディスクアシスト(Disk-Assisted Queue)
Register as a new user and use Qiita more conveniently
- You get articles that match your needs
- You can efficiently read back useful information
- You can use dark theme