sendsyslog

입력되는 데이터를 UDP 프로토콜을 통해 시스로그 메시지로 원격 서버에 전송합니다.

명령어 속성

항목설명
명령어 유형가공 쿼리
필요 권한없음
라이선스 사용량해당 없음
병렬 실행미지원
분산 실행미지원

문법

sendsyslog dst=IP [port=INT] [format={txt|json}] [pri=INT] [src=IP]

옵션

dst=IP

시스로그 수신 서버의 IP 주소

port=INT

시스로그 수신 서버의 포트 번호 (기본값: 514)

format={txt|json}

시스로그 본문 형식 (기본값: txt)

  • txt: 입력 레코드의 line 필드 값을 그대로 전송
  • json: 입력 레코드 전체를 JSON 형식으로 변환하여 전송. _id, _table, _time 필드는 제외됨
pri=INT

RFC 5424에 정의된 PRI 값. 기본값 134는 local0 시설과 info 심각도에 해당합니다. (기본값: 134)

PRI 값은 Facility 값의 8배수에 Severity 값을 더한 값입니다.

Facility / Severity0/Emer1/Alert2/Crit3/Error4/Warn5/Notice6/Info7/Debug
0 / kern01234567
1 / user89101112131415
2 / mail1617181920212223
3 / daemon2425262728293031
4 / auth3233343536373839
5 / syslog4041424344454647
6 / lpr4849505152535455
7 / news5657585960616263
8 / uucp6465666768697071
9 / clock7273747576777879
10 / authpriv8081828384858687
11 / ftp8889909192939495
12 / ntp96979899100101102103
13 / audit104105106107108109110111
14 / alert112113114115116117118119
15 / solaris-cron120121122123124125126127
16 / local0128129130131132133134 (기본값)135
17 / local1136137138139140141142143
18 / local2144145146147148149150151
19 / local3152153154155156157158159
20 / local4160161162163164165166167
21 / local5168169170171172173174175
22 / local6176177178179180181182183
23 / local7184185186187188189190191
src=IP

출발지 IP 주소. 지정하면 로그프레소 서버의 IP 주소 대신 지정한 IP를 출발지로 설정하여 전송합니다. 이 옵션을 사용하면 PCAP 디바이스를 통해 패킷을 직접 생성하여 전송합니다.

입력 필드

필드타입필수 여부설명
line문자열format=txt인 경우 필수시스로그 본문으로 전송할 텍스트. null이면 빈 문자열을 전송합니다.

출력 필드

입력 레코드의 필드를 그대로 전달합니다.

오류 코드

파싱 오류
오류 코드메시지설명
missing-dst-option(메시지 없음)dst 옵션이 지정되지 않은 경우
invalid-dst-ip(메시지 없음)dst 옵션에 유효하지 않은 IP 주소를 지정한 경우
invalid-format(메시지 없음)format 옵션에 txt 또는 json 이외의 값을 지정한 경우
invalid-pri(메시지 없음)pri 옵션에 정수가 아닌 값을 지정한 경우
invalid-port-number(메시지 없음)port 옵션에 1~65535 범위를 벗어난 값을 지정한 경우
invalid-src-ip(메시지 없음)src 옵션에 유효하지 않은 IP 주소를 지정한 경우
런타임 오류
오류 코드메시지설명
pcap-device-failure(예외 메시지)src 옵션으로 PCAP 디바이스를 지정했으나 디바이스를 열 수 없는 경우

설명

sendsyslog 명령어는 입력되는 레코드마다 UDP 시스로그 메시지를 생성하여 지정한 원격 서버로 전송합니다. 시스로그 메시지는 <PRI>본문 형식으로 구성됩니다.

format=txt일 때는 입력 레코드의 line 필드 값을 본문으로 사용합니다. format=json일 때는 입력 레코드 전체를 JSON으로 변환하여 본문으로 사용하되, _id, _table, _time 필드는 제외합니다. RFC 3164/RFC 5424의 타임스탬프·호스트 이름 헤더는 포함되지 않으며 인코딩은 UTF-8입니다. PRI 값이 134일 때 본문 예는 다음과 같습니다.

<134>{"src_ip":"192.168.0.10","src_port":52344,"dst_ip":"10.0.0.5","dst_port":443,"protocol":"tcp","bytes":1480}

각 필드 타입은 다음 규칙으로 JSON 값으로 변환됩니다.

로그프레소 타입JSON 표현
문자열JSON 문자열
정수, 실수 (int, long, double 등)JSON 숫자
불리언true / false
nullnull
날짜"yyyy-MM-dd HH:mm:ssZ" 형식 문자열 (예: "2026-05-04 13:45:00+0900")
IP 주소주소 문자열 (예: "192.168.0.10")
UUIDUUID 문자열
바이너리소문자 16진수 문자열
배열JSON 배열 (각 요소를 위 규칙으로 재귀 변환)
JSON 객체 (값을 위 규칙으로 재귀 변환)

JSON 객체 내 키 순서는 보장되지 않으므로, 수신 측 파서는 키 이름을 기준으로 동작하도록 작성하세요. 수신 측에서 시간 정보가 필요하다면 eval 명령어로 _time을 별도 필드에 복사한 뒤 전달하세요.

sendsyslog는 레코드 하나당 UDP 데이터그램으로 전송합니다. format=json으로 크기가 큰 레코드를 전송할 때 직렬화된 데이터가 MTU를 초과하면 단편화되거나 드롭될 수 있으므로, 크기가 큰 레코드는 sendsyslog-tcp 사용을 검토하세요.

src 옵션을 지정하면 PCAP 디바이스를 사용하여 출발지 IP를 임의의 주소로 변경한 UDP 패킷을 생성합니다. src 옵션을 지정하지 않으면 일반 UDP 소켓을 사용하여 전송합니다. src 옵션을 사용하려면 운영체제에 libpcap(Linux/macOS) 또는 WinPcap(Windows) 라이브러리가 설치되어 있어야 합니다. MTU를 초과하는 크기의 패킷은 전송에 실패할 수 있으므로 주의하세요.

전송 성공 여부와 관계없이 입력 레코드를 그대로 다음 명령어로 전달합니다. 전송 오류가 발생하면 첫 번째 오류만 로그에 기록하고 이후 동일한 오류는 억제합니다.

사용 예

이 사용 예에서 조회하는 WEB_APACHE_SAMPLE 테이블을 준비하려면 쿼리 실습용 데이터를 참고하세요.

  1. 텍스트 형식으로 시스로그 전송

    table limit=100 WEB_APACHE_SAMPLE
| sendsyslog dst=198.51.100.10

    WEB_APACHE_SAMPLEline 필드를 UDP 시스로그로 198.51.100.10:514에 전송합니다.

  2. JSON 형식으로 시스로그 전송

    table limit=100 WEB_APACHE_SAMPLE
| sendsyslog dst=198.51.100.10 port=1514 format=json

    WEB_APACHE_SAMPLE의 모든 필드를 JSON 형식으로 변환하여 198.51.100.10:1514에 전송합니다.

  3. PRI 값과 출발지 IP 지정

    table limit=100 WEB_APACHE_SAMPLE
| sendsyslog dst=198.51.100.10 pri=165 src=203.0.113.5

    PRI 값을 165(local4 + notice)로 설정하고, 출발지 IP를 203.0.113.5로 변경하여 전송합니다.

호환성

sendsyslog 명령어는 소나 4.0 이전 버전부터 제공되었습니다.