Syslog的格式说明

Syslog的格式说明

设备必须通过一些规则来配置，以便显示或者传递事件信息。不管管理员决定怎样配置对事件信息的处理，把这些信息发送到syslog接受者的过程一般都由下面部分构成：决定哪个帮助信息要被发送，要被发送的级别，定义远程的接受者。

被传输的syslog信息的格式主要有3个容易识别出来的部分，分别是PRI、HEADER、MSG。数据包的长度小于1024个字节。PRI部分必须有3、4、5个字符，以“<”开头，然后是一个数字，并以“>”结尾。在方括号内的数字被称为优先级（Priority），由facility和severity两个值构成。信息中的facilities和severities通过十进制值进行数字的编码。一些操作系统的后台监控程序和进程被分配一个facility值，那些没有分配一个facility值的进程和daemons 将会使用“local use”的facilities值或者“用户级别”的facilities值。下面的表格表示被指定的Facilities值和对应的数字代码。

Numerical Code Facility

0kernel messages

1user-level messages

2mail system

3system daemons

4security/authorization messages

5messages generated internally by syslogd

6line printer subsystem

7network news subsystem

8UUCP subsystem

9clock daemon

10security/authorization messages

11FTP daemon

12NTP subsystem

13log audit

14log alert

15clock daemon

16local use 0(local0)

17local use 1(local1)

18local use 2(local2)

19local use 3(local3)

20local use 4(local4)

21local use 5(local5)

22local use 6(local6)

23local use 7(local7)

表1Syslog Message Facilities

每个信息优先级也有一个表示十进制Severity登记的参数, 下面的表格描述出他们和对应数值。

Numerical Code Severity

0Emergency 应急EMERY，任何紧急情况，包括系统PANIC。

1Alert 警报ALERT，任何需要立即注意的发生情况

2Critical致命错误CRIT，设备发生了关键性问题情况,包括进程CRASH,OVERFLOW

3Error 错误ERR任何错误的东西，错误事件

4Warning 警告WARNING任何报警，警告事件

5Notice 提示NOTICE，普通但重要的事件

6Informational 信息INFO，有用的信息

7Debug 诊断DEBUG，用于调试，程序，产品设备

表2Syslog Message Severities

Priority（优先级）= facility * 8 + severity值。比如说，一个核心信息（facility=0）和一个Emergency的severity将会产生优先级为0。同样，一个“local use 4”信息（facility=20）和一个Notice的severity（severity=5）将会产生165的优先级。

标题（HEADER）部分由称为TIMESTAMP和HOSTNAME的两个域组成，PRI结尾的“>”会马上跟着一个TIMESTAMP，任何一个TIMESTAMP或者HOSTNAME域后面都必须跟着一个空格字符。HOSTNAME包含主机的名称，若无主机名或无法识别则显示IP地址。如果一个主机有多个IP地址，它通常会使用它传送信息的那个IP地址。TIMESTAMP是本机时间，采用的格式是“Mmm dd hh:mm:ss”表示月日时分秒。HOSTNAME域仅仅能够包括主机名称，Ipv4地址或者是信息产生者的Ipv6地址。

MSG部分是Syslog数据包剩下的部分。这通常包含了产生信息进程的额外信息，以及信息的文本部分。MSG部分有两个域，分别为TAG域和CONTENT域，TAG域的值是产生信息的程序或者进程的名称，CONTENT包含了这个信息的详细内容。传统上来说，这个域的格式较为自由，并且给出一些时间的具体信息。TAG是一个不许超过32个字符的字母数字字符串，任何一个非字母数字字符都将会终止TAG域，并且被假设是CONTENT域的开始。在大多数情况下，表示TAG结束的CONTENT域的第一个字符用左大括号( [ ],分号( : )或者是空格来表示。

syslog.conf - syslogd的配置文件详解

syslog.conf文件是syslogd守护进程的主要配置文件，文件定义了记录消息的规则。

每条规则包含两个字段，selector和action。两个字段用多个空格或跳格分开。selector字段定义了产生消息的设备和消息的优先权。action字段是消息的去向。

以#开头的行和空行都被忽略。

现在的syslogd程序可以理解扩展的语法。比如将一行信息用"\"分成两行。

选择器：

此字段用点(.)分开两个部分--设备和优先权。两个部分都开以用十进制数来定义，但最好不要那样做，会产生警告,两个部分的取值在syslog(3)中有定义。设备如下面所示：

auth,authpriv,cron,daemon,kern,lpr,mail,mark,news,

security,syslog,user,uucp和从local0到local7。