在rsyslog.conf中配置日志输出格式时，如何使用XML模板？

在rsyslog.conf中使用 XML 模板（新式模板）可以构建结构化日志，便于日志分析工具解析或与 XML 兼容系统集成。XML 模板基于$!语法定义层级化元素，支持属性、嵌套标签和条件逻辑。以下是详细的配置指南：

一、XML 模板的核心语法

XML 模板通过$!标识元素开始，使用$!结束元素，并通过.分隔层级关系。基本结构如下：

plaintext

$template <模板名>, "$![元素名][@属性='值']$!元素内容$![/元素名]$!"

关键语法说明：

$![元素名]：开始一个 XML 元素

[@属性='值']：定义元素属性（可选）

$!元素内容：元素内的文本或占位符

$![/元素名]：结束元素

嵌套元素通过.分隔层级（如$![root.child]）

二、基础 XML 模板配置示例

1. 简单 XML 格式（单层级元素）

bash

# 定义XML模板

$template SimpleXML,"$![log]$![time]%TIMESTAMP%$![/time]$![level]%syslogseverity-text%$![/level]$![message]%msg%$![/message]$![/log]$!"

# 应用到系统日志

*.info  :omfile:outputfile="/var/log/system_xml.log",template="SimpleXML"

输出示例：

xml

<log><time>2025-06-19 15:00:00</time><level>INFO</level><message>Service started successfully</message></log>

2. 带属性和嵌套的复杂 XML

bash

$template ComplexXML,"$![log event-id='%PID%']$![header]$![timestamp]%TIMESTAMP%$![/timestamp]$![host]%HOSTNAME%$![/host]$![/header]$![body]$![level severity='%PRI%']%syslogseverity-text%$![/level]$![content]%msg%$![/content]$![/body]$![/log]$!"

# 应用到安全日志

auth.*  :omfile:outputfile="/var/log/auth_xml.log",template="ComplexXML"

输出示例：

xml

<log event-id="1234"><header><timestamp>2025-06-19 15:05:00</timestamp><host>myserver</host></header><body><level severity="14">WARNING</level><content>Failed login from 192.168.1.1</content></body></log>

三、XML 模板中的动态字段与条件逻辑

1. 使用变量作为 XML 属性值

bash

$template AttributeXML,"$![log]$![event type='%syslogtag:1:r,replace-spaces=-%']$![time]%TIMESTAMP%$![/time]$![msg]%msg%$![/msg]$![/event]$![/log]$!"

%syslogtag:1:r,replace-spaces=-%：截取syslogtag并替换空格为-

2. 条件化 XML 元素（根据日志级别显示不同字段）

bash

$template ConditionalXML,"$![log]$![time]%TIMESTAMP%$![/time]$![level]%syslogseverity-text%$![/level]$(if $syslogseverity >= 3 then '$![error-details]$![pid]%PID%$![/pid]$![message]%msg%$![/message]$![/error-details]$!')$![/log]$!"

# 应用到所有日志

*.*  :omfile:outputfile="/var/log/conditional_xml.log",template="ConditionalXML"

当日志级别≥3（ERROR）时，添加<error-details>嵌套元素

四、XML 模板与命名空间支持

1. 定义 XML 命名空间

bash

$template NamespaceXML,"$![log xmlns='http://example.com/logns']$![time]%TIMESTAMP%$![/time]$![message]%msg%$![/message]$![/log]$!"

输出示例：

xml

<log xmlns="http://example.com/logns"><time>2025-06-19 15:10:00</time><message>Request processed</message></log>

2. 多命名空间示例

bash

$template MultiNSXML,"$![log xmlns:ns1='http://ns1.com' xmlns:ns2='http://ns2.com']$![ns1:time]%TIMESTAMP%$![/ns1:time]$![ns2:data]%msg%$![/ns2:data]$![/log]$!"

五、配置生效与验证步骤

修改 rsyslog.conf

在文件中添加模板定义和日志规则，确保模板在规则前声明。

重启 rsyslog 服务

bash

systemctl restart rsyslog  # CentOS/RHEL

service rsyslog restart    # Debian/Ubuntu

验证 XML 日志格式

查看日志文件：

bash

tail -n 5 /var/log/system_xml.log

使用 XML 验证工具（如xmllint）：

bash

xmllint --noout /var/log/system_xml.log

六、高级技巧与注意事项

1. 转义 XML 特殊字符

在模板中使用&转义特殊字符：

bash

$template EscapedXML,"$![log]$![message]%msg:::escape-xml%$![/message]$![/log]$!"

%msg:::escape-xml%：自动转义<、>、&等字符

2. 处理 XML 中的多行日志

在模板中禁用自动换行：

bash

$template MultilineXML,"$![log]$![message]%msg:::no-newline%$![/message]$![/log]$!"

3. 性能优化建议

避免过度嵌套 XML 元素，层级建议不超过 3 层

对高频日志（如访问日志）慎用复杂 XML 格式

可结合action.resumeOnError参数确保 XML 日志完整性

4. 官方语法参考

更多 XML 模板语法细节可查阅rsyslog XML 模板文档

通过 XML 模板，可将日志转换为结构化数据，便于后续通过 XPath 查询、XML 解析器处理或与 ELK Stack 等系统集成。配置时需注意 XML 格式的严谨性（如标签闭合、属性引号），并根据实际需求平衡结构化程度与性能开销。