Sequence顺序语义日志解析器

Sequence是高性能的顺序日志扫描器、分析器和解析器。它依次通过一条日志消息，解析出有意义的部分，而无需使用正则表达式。它可以每秒解析超过 100,000 条消息，而无需按日志源类型分开解析规则。

性能

以下性能基准在单4核（2.8Ghz i7）MacBook Pro上运行，尽管测试仅使用1或2核。第一个文件是一堆sshd日志，每条消息平均98字节。第二个是Cisco ASA日志文件，每条消息平均180字节。最后是ASA，sshd和sudo日志的混合，平均每条消息136个字节。

  $ ./sequence bench scan -i ../../data/sshd.all
  Scanned 212897 messages in 0.78 secs, ~ 272869.35 msgs/sec

  $ ./sequence bench parse -p ../../patterns/sshd.txt -i ../../data/sshd.all
  Parsed 212897 messages in 1.69 secs, ~ 126319.27 msgs/sec

  $ ./sequence bench parse -p ../../patterns/asa.txt -i ../../data/allasa.log
  Parsed 234815 messages in 2.89 secs, ~ 81323.41 msgs/sec

  $ ./sequence bench parse -d ../patterns -i ../data/asasshsudo.log
  Parsed 447745 messages in 4.47 secs, ~ 100159.65 msgs/sec

可以通过添加更多核心来提高性能：

  $ GOMAXPROCS=2 ./sequence bench scan -i ../../data/sshd.all -w 2
  Scanned 212897 messages in 0.43 secs, ~ 496961.52 msgs/sec

  GOMAXPROCS=2 ./sequence bench parse -p ../../patterns/sshd.txt -i ../../data/sshd.all -w 2
  Parsed 212897 messages in 1.00 secs, ~ 212711.83 msgs/sec

  $ GOMAXPROCS=2 ./sequence bench parse -p ../../patterns/asa.txt -i ../../data/allasa.log -w 2
  Parsed 234815 messages in 1.56 secs, ~ 150769.68 msgs/sec

  $ GOMAXPROCS=2 ./sequence bench parse -d ../patterns -i ../data/asasshsudo.log -w 2
  Parsed 447745 messages in 2.52 secs, ~ 177875.94 msgs/sec

局限性

• sequence不处理多行日志。每个日志消息必须显示为一行。因此，如果有多行日志，则必须首先将其转换为单行。
• sequence仅使用一组有限的系统（Linux，AIX，sudo，ssh，su，dhcp等），网络（ASA，PIX，Neoteris，CheckPoint，Juniper防火墙）和基础结构应用程序（apache，bluecoat等）进行了测试。日志。如果您有一组日志希望我进行测试，请随时提出一个问题，我们可以为我安排下载和测试日志的方法。