Estou tentando entender se é possível criar um modelo para uma configuração personalizada do imfile que tenho em meu rsyslog e aplicá-lo a mensagens do syslog encaminhadas. Estou monitorando um arquivo que produz a seguinte saída:
04/12/2018-09:05:16.392637 [**] [1:2008983:6] ET USER_AGENTS Suspicious User Agent (BlackSun) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 10.0.0.3:56778 -> 1.1.1.1:80
É possível quebrar a mensagem e atribuir campos ao texto, no nível do daemon syslog?
Por exemplo, qualquer coisa depois de "Classification:" estaria em um campo chamado "Descrição"; Qualquer coisa na frente de "Priority:" iria para um campo com o mesmo nome. O valor antes de "->" iria para um campo chamado "source:" e depois em um campo chamado "destination:", etc.
Estou usando o rsyslog 8.16, no Ubuntu 16.04.