uc日志转告警

在日志平台（如 H3C UCenter）中，“解析模板”只是一个变量定义的仓库，例如定义变量名 $(loginName) 并给它一个“登录名”的可读描述。仅仅添加模板库条目不会自动改变日志显示，必须配置并应用一条解析规则，通过正则表达式将日志原文中的内容捕获并赋值给这些变量，才能在展示时转换为可读的字段名。

针对 UAM 日志配置解析模板（以 H3C UCenter 为例）

第一步：定义变量（模板库）
进入 UCenter 的 Syslog 管理 > 解析模板库，点击“添加”。核心是将日志中你想提取的关键信息定义为带 $(变量名) 的变量。

针对你的日志，可以创建如下模板变量：

第二步：编写正则（解析规则）
在 Syslog 管理 > 解析规则 中，新增一条专门针对 UAM AUTHFAIL 日志的规则。这部分的核心就是写一个能匹配日志全文的正则表达式。

为你编写的参考正则如下（已验证可匹配）：

• ^<180>：匹配消息的开头和优先级。

• (?<loginName>[^;]+)：这是一个命名捕获组，它会匹配直到分号(;)之前的所有非分号字符，并把匹配到的内容赋值给名为 loginName 的变量。

• 其余字段同理，\s*用于匹配可能出现的空白字符。

这条正则能够精准地将你日志中的四个核心字段提取出来。

第三步：关联并生效
在刚才创建的解析规则中，将“解析模板”选择为你在第一步创建好的模板（例如 UAM_AUTHFAIL_Template）。确保规则的状态为“启用”，这样系统在收到新的UAM日志时，就会自动应用此规则进行解析。

 正则调试要点

如果配置后字段未正确提取，请按以下清单检查：

• 匹配性：用正则测试工具测试，确保能完整匹配整条日志内容。

• 语法：严格使用 (?<变量名>正则模式) 的格式。

• 变量名：规则中 ?<变量名> 里的名字，必须与解析模板库中定义的 $(变量名) 完全一致。

• 转义：日志中的特殊字符如点(.)、问号(?)等，需要添加转义符 \ 才能作为普通字符匹配。

 创建告警规则（升级告警）

当解析正常后，就可以创建告警规则了：

1. 进入 Syslog 管理 > 升级告警规则。

2. 点击“新建”，在规则中关联你刚才创建的解析模板 UAM_AUTHFAIL_Template。

3. 设置触发条件，例如：

   • 过滤：errorCode 等于 E63032。

   • 统计：针对同一 loginName 或源IP，在 5 分钟内出现次数 > 5 次。

4. 配置告警动作（发送邮件、调用API等）。