ネットワーク機器の吐き出すSyslogをファイルに保存したくは無いけど、リアルタイムに流れてくるものを拾って眺めておきたい。というシチュエーションが私にはあるので、適当なプログラムが無いかと探していたら、Powershell で実現する方法が載っていたので紹介します。
<この記事は、旧ブログからの移転記事です。スクリプトも若干変更>
見つけたのはこちらのWebページです。こちらに掲載されているスクリプトをベースにアレンジしました。
WindowsでPowershellだけでSyslogを受信してみる。 | 技術的な何か。
また、Syslog のセレクターの計算処理についてはこちらが詳しい。
実行してSyslogを受信するとこのように表示されます。
以下、スクリプト
WindowsでPowershellだけでSyslogを受信してみる。 | 技術的な何か。
また、Syslog のセレクターの計算処理についてはこちらが詳しい。
実行してSyslogを受信するとこのように表示されます。
以下、スクリプト
SyslogMon.ps1
$Udp = New-Object System.Net.Sockets.UdpClient(514) $Sender = $null Add-Type -TypeDefinition @" public enum Syslog_Facility { kern, user, mail, system, security, syslog, lpr, news, uucp, clock, authpriv, ftp, ntp, logaudit, logalert, cron, local0, local1, local2, local3, local4, local5, local6, local7, } "@ Add-Type -TypeDefinition @" public enum Syslog_Severity { Emergency, Alert, Critical, Error, Warning, Notice, Info, Debug } "@ Write-Host "Starting Syslog Monitor" while($true) ` { if($Udp.Available) ` { $Buffer = $Udp.Receive([ref]$Sender) $RemoteHostIpAddress = $Sender.Address.ToString() $MessageString = [Text.Encoding]::UTF8.GetString($Buffer) ## Syslog セレクター情報の抽出 $Priority = [Int]($MessageString -Replace "<|>.*") [int]$FacilityInt = [Math]::truncate([decimal]($Priority / 8)) $Facility = [Enum]::ToObject([Syslog_Facility], $FacilityInt) [int]$SeverityInt = $Priority - ($FacilityInt * 8 ) $Severity = [Enum]::ToObject([Syslog_Severity], $SeverityInt) ## Syslog セレクターを除去 $MessageString = $MessageString -Replace "^<[0-9]+>","" ## Syslog の DateTime と 内容を分割 $MessageStringArray = $MessageString -Split " " $MessageStringDate = $MessageStringArray[0] + " " + $MessageStringArray[1] + " " + $MessageStringArray[2] $MessageStringBody = $MessageString -Replace $MessageStringDate,"" ## 出力フォーマット # $MessageOut = "$MessageStringDate $RemoteHostIpAddress <$Facility.$Severity> $MessageStringBody" $MessageOut = "$RemoteHostIpAddress <$Facility.$Severity> $MessageString" ## ディスプレイに表示させるだけにするか、ファイルに保存するか。両方でも良い。 Write-Host $MessageOut $MessageOut >> %USERPROFILE%\Documents\syslog\syslog.log } [Threading.Thread]::Sleep(500)
ChatGPTに書かせるとこうなるらしい
返信削除# UDPListenerモジュールをインポート
Import-Module UDPListener
# サーバーポート番号を定義
$port = 514
# Syslogサーバを作成
$listener = New-UDPServer -Port $port
# メッセージを受信し、facilityとseverityをデコードして記録する
while ($true) {
$message = $listener.ReceiveString()
# facilityとseverityを取得
$facility = [int]($message -replace '^\<(\d+)\>\d+', '$1') / 8
$severity = [int]($message -replace '^\<\d+\>(\d+)', '$1')
# facilityとseverityをデコード
$facility_names = @('kernel messages', 'user-level messages', 'mail system', 'system daemons', 'security/authorization messages', 'messages generated internally by syslogd', 'line printer subsystem', 'network news subsystem', 'UUCP subsystem', 'clock daemon', 'security/authorization messages (private)', 'FTP daemon', 'NTP subsystem', 'log audit', 'log alert')
$severity_names = @('Emergency', 'Alert', 'Critical', 'Error', 'Warning', 'Notice', 'Informational', 'Debug')
$facility_name = $facility_names[$facility]
$severity_name = $severity_names[$severity]
# デコードしたfacilityとseverityを記録
$log_message = "$facility_name, $severity_name: $message"
Write-Host $log_message
# ここにログを保存するコードを追加することができます
}