В AxelNAC подержано создание синтаксического анализатора системного журнала (Syslog) с помощью регулярных выражений. Это, в свою очередь, позволит создавать сложные фильтры и правила для работы с данными, получаемыми через журнал.

Для создания парсера перейдите в раздел Конфигурация → Интеграция → Парсеры Syslog → Новый парсер Syslog и выберите значение Regex в выпадающем списке.

На открывшейся странице вы можете выполнить следующие настройки:

Детектор — укажите идентификатор детектора, который будет использоваться;
Статус — работу парсера можно включать и выключать;
Канал уведомлений — укажите ранее созданный канал оповещений (FIFO);
Правила — список правил, определяющих, как сопоставлять записи в журнале и какие действия предпринимать при сопоставлении. Правила парсера:
- Имя — имя правила;
- Regex — регулярное выражение для сопоставления с записью журнала. Может иметь именованные захваты которые можно использовать для замены параметров, начинающихся с '$'.
- Действия — список действий, которые необходимо выполнить при совпадении регулярного сообщения;
- Остановить, если совпадает — остановить обработку других правил, если это правило совпадает;
- IP ⇄ MAC — автоматическая трансляция IP-адресов в MAC-адреса и наоборот.

Определение действий

Действие состоит из двух частей:

Метод — имя действия, которое необходимо выполнить;
Список параметров — список параметров, которые необходимо передать методу. Каждый параметр разделяется запятой. Параметры, которые должны быть заменены именованным захватом.

Пример действия:

Regex:
mac\s*: \s* (? P&lt; mac&gt; [a-zA-Z0-9] {2} (: [a-zA-Z0-9] {2}) {5}), notes\s*: \s* (P?&lt; notes&gt;.*)
Действие:
modify_node: mac, $mac, notes, $notes