syslog-ng 系列连载-42 ：优化过滤器中的正则表达式-ailms-ChinaUnix博客

阿勃的 blog

首页　| 　博文目录　| 　关于我

ailms

博客访问： 1770598
博文数量： 184
博客积分： 10122
博客等级：上将
技术积分： 5566
用户组：普通用户
注册时间： 2005-12-08 12:32

文章分类

全部博文（184）

我的音乐（0）
常用命令及手册翻（0）

网络工具（0）

二进制相关（0）

网络下载（0）

邮件相关（0）

进程管理（0）

文件查找（0）

文本处理（0）

文件访问/管理（0）

文件系统（0）

手册/帮助（0）

系统信息（0）

全部命令列表（0）
网络相关（23）

抓包（0）

MRTG（15）

RRDtool（8）
操作系统（57）

Xwindow 相关（0）

initrd 文件（0）

用户管理（0）

系统时钟与时间（0）

软件包管理（0）

LOCALE 、i18n 和（0）

Software-RAID（6）

LVM （逻辑卷管理（2）

日志与日志服务器（48）

文件系统和修复（0）

登录流程（0）

启动/关机流程分（1）

磁盘配额（0）

内核/模块/补丁（0）

GRUB（0）
安全相关（65）

文件权限（1）

公钥认证和 PKI（4）

OpenSSL（57）

ACL（3）

Tripwire（0）

PAM（0）
服务器配置（36）

SNMP（10）

DHCP（1）

Postfix（0）

Apache（10）

bind（15）
脚本编程（2）

反删除实验（0）

监控相关（0）

杂（1）

系统启动脚本分析（0）

RRDtool 辅助（0）

如何实现自己的 s（0）

LVM 辅助脚本（0）

DHCP ip 分配统计（0）
未分配的博文（1）

文章存档

2011年（1）

2008年（183）

我的朋友

7.6. Optimizing regular expressions in filters

Some filter functions accept regular expressions as parameters. But evaluating general regular expressions puts a high load on the CPU, which can cause problems when the message traffic is very high. Often the regular expression can be replaced with simple filter functions and logical operators. Using simple filters and logical operators, the same effect can be achieved at a much lower CPU load.

# 注释：某些过滤器函数接受正则表达式作为参数，但使用正则表达式会增加 CPU 的开销。

# 对于常用的正则表达式，建议使用内置的过滤器函数和布尔操作符来代替，还可以降低 CPU 的开销。

Example 7.3. Optimizing regular expressions in filters

	Example 7.3. Optimizing regular expressions in filters
Suppose you need a filter that matches the following error message logged by the `xntpd` NTP daemon: # 注释：例如你想过滤出来自 NTP 服务的日志（xntpd 进程） xntpd[1567]: time error -1159.777379 is too large (set clock manually); The following filter uses regular expressions and matches every instance and variant of this message. # 注释：下面的例子使用 regexp filter f_demo_regexp { program("demo_program") and match("time error .* is too large .* set clock manually"); }; Segmenting the `match()` part of this filter into separate `match()` functions greatly improves the performance of the filter. # 注释：但如果改为使用多个 match（）函数也可以达到相同目的 filter f_demo_optimized_regexp { program("demo_program") and match("time error") and match("is too large") and match("set clock manually"); };

Suppose you need a filter that matches the following error message logged by the xntpd NTP daemon:

# 注释：例如你想过滤出来自 NTP 服务的日志（xntpd 进程）

xntpd[1567]: time error -1159.777379 is too large (set clock manually);

The following filter uses regular expressions and matches every instance and variant of this message.

# 注释：下面的例子使用 regexp

filter f_demo_regexp {
			program("demo_program") and
			match("time error .* is too large .* set clock manually"); };

Segmenting the match() part of this filter into separate match() functions greatly improves the performance of the filter.

# 注释：但如果改为使用多个 match（）函数也可以达到相同目的

filter f_demo_optimized_regexp {
			program("demo_program") and
			match("time error") and 
			match("is too large") and 
			match("set clock manually"); };

阅读(1814) | 评论(0) | 转发(0) |

上一篇：syslog-ng 系列连载-41 ：sync（）参数

下一篇：syslog-ng 系列连载-43 ：参考- source drivers

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6