log4j2 – Syslog appender和PatternLayout

正如这个log4j2错误报告中所提到的， log4j2的开发人员将SyslogAppender编码为SocketAppender ，硬连线到SyslogLayout

因为它旨在符合原始syslog格式或RFC 5424.不允许其他布局。

遗憾的是，他们没有意识到RFC 5424规范没有对日志中包含的消息强制执行任何特定格式，而Log4j2实现中只是日志的%m部分。

要解决这个问题，解决方案（在同一个bug报告中建议）是使用SocketAppender中的PatternLayout重现syslog格式，就像这样

这将通过UDP将格式良好的RFC5424日志写入本地514端口。 以下是示例日志输出：

 Sep 14 10:40:50 app-hostname app-name: { "host":"host-name-01", "thread":"http-nio-8080-exec-4", "level":"DEBUG", "logger":"ExecuteTimeInterceptor", "line":52, "message":"GET /health 200 served in 3", "exception":"" } 

我不相信你可以在基本的Syslog appender上使用模式。

从文档中可以看出这一点

“SyslogAppender是一个SocketAppender，它将输出写入主机和端口指定的远程目标，格式符合BSD Syslog格式或RFC 5424” http://logging.apache.org/log4j/2.x /manual/appenders.html#SyslogAppender

但是，它确实允许您指定“format = RFC 5424”

如果您使用RFC 5424

然后，您可以将PatterLayout放在loggerFields参数中。 见http://logging.apache.org/log4j/2.x/manual/layouts.html#RFC5424Layout

希望有所帮助！

您可以使用SocketAppender和PatternLayout格式化syslog（syslog-ng）消息。
要使用固定工具支持动态严重性（例如：’用户级消息’ – 请参阅RFC5424 ），模式应如下所示：

要计算Facility’用户级消息’和Severity’信息性消息’的优先级值（PRIVAL） – 请参阅RFC5424 ，以下示例可能会有所帮助：

 Syslog: Facility | Severity Numerical Code: 1 6 Bin: 0 0 0 0 1 | 1 1 0 Dec: 8 + 6 = 14 

log4j2 syslog-ng socketappender patternlayout

您可以使用LoggerFields标记向RFC5424格式化的SyslogAppender消息添加其他元素，如下所示：

然后我使用rsyslog的RFC5424解析模块mmpstrucdata将它们拉出来创建json树。 用于访问它们的rsyslog.conf模板如下所示：

 template(name="jsondump" type="string" string="'%$!rfc5424-sd!mdc@18060!thread%', '%$!rfc5424-sd!mdc@18060!priority%', '%$!rfc5424-sd!mdc@18060!category%', '%$!rfc5424-sd!mdc@18060!exception%'") 

我只是想做同样的事情，并认为我会分享对我有用的东西。 – 山姆

我使用了butcher82发布的配置 ，但不得不改变它以产生我需要的结果。

我到底得到的是一条消息，其中包含正确的优先级，时间戳（几天没有前导零），主机和消息部分。 syslog和log4J级别之间的映射按照org.apache.log4j.Level中的定义使用，设施设置为1（用户级消息），以简化优先级计算。

此模式应与RFC-3164兼容：

以下是产生的输出：

 <3>Dec 15 09:59:16 foo.bar.hostname this is a test message 

注意：可以在主机名后添加应用程序名称或pid。