msg：message的MSG部分rawmsg：从socket接收到的原始信息，一般用于debug。hostname：message中的主机名source：HOSTNAME的别名fromhost：接受message的系统主机名，在多级收集的模式下不一定是原始的发送者的主机名，这是DNS解析的名称。fromhost-ip：和fromhost一样，总是表现为一个IP地址，本地作为input的话，地址为127.0.0.1。syslogtag：message的TAG部分programname：tag的static部分，named[12345]的programname是named。pri：message的PRI部分，未编码的。pri-text：PRI的一部分，以文本的形式。iut：略syslogfacility：message的facility，以数字的形式syslogfacility-text：message的facility，以文本的形式syslogseverity：message的severity，以数字的形式syslogseverity-text：message的severity，以文本的形式syslogpriority：syslogseverity的别名syslogpriority-text：syslogseverity-text的别名timegenerated：接受到message是的timestamp,精度高timereported：从message里面获取timestamp，时间进度取决于message本身timestamp：timereported的别名protocol-version：draft-ietf-syslog-protcol中的PROTCOL-VERSION字段structured-data：draft-ietf-syslog-protocol中的STRUCTURED-DATAapp-name：draft draft-ietf-syslog-protocol中的APP-NAME字段procid：draft-ietf-syslog-protocol中的PROCID字段msgid：draft-ietf-syslog-protocol中的MSGID字段inputname：生成的信息中输入模块的名字，并不是所有模块都提供这个属性。

        $bom：utf-8编码的Unicode字节顺序，前提是知道是unicode字符集。$now：当前的时间戳，YYYY-MM-DD$year：当前时间的年份，4位数。$month：当前的月份，2位数。$day：当前的日，2位数。$hour：当前的小时，2位数，24小时制。$hhour：半小时制。$qhour：略$minute：当前时间的分钟数$myhostname：当前主机的名称

        %msg:1:2%：截取前两个字符%msg:::lowercase：::表示整个字符串，将全部字符串转换成小写%msg:10:$%：$表示结尾，第10个字符一直到结尾。

                %msg:R,ERE,1,FIELD:for (vlan[0-9]\*):--end%%msg:R,ERE,1,FIELD,1:for (vlan[0-9]\*):--end%

            int n, m;...syslog(LOG_ERR, "%d test %6d", n, m);    #使用空格作为分隔符，在遇到多个空格的情况下容易出现不唯一的情况"%msg:F,32:2%" to "%msg:F,32+:2%"        #使用+号来添加一个或多个相同分隔符的效果，来源与perl的风格

        uppercase：将属性转换成小写lowercase：将属性文本转换成大写csv：生成的格式drop-last-lf：删除消息后面的换行符date-mysql：mysql的时间格式date-rfc3164：rfc3164的时间格式date-rfc3164-buggyday：类似于date-rfc3164date-rfc3339：rfc3339的时间格式date-subseconds：时间戳的秒数escape-cc：替换控制字符space-cc：用空格替换控制字符drop-cc：删除控制字符sp-if-no-1st-sp：略secpath-drop：去掉斜杠，e.g. "a/b" becomes "ab"secpath-replace：将斜杠替换，e.g. "a/b" becomes "a_b"