Syslog的格式说明.docx

Syslog 的格式说明 设备必须通过一些规则来配置，以便显示或者传递事件信息不管管理员决定怎样配置对事件信息的处理，把这些信息发送到 syslog 接受者的过程一般都由下面部分构成：决定哪个帮助信息要被发送，要被发送的级别，定义远程的接受者 被 传输的 syslog 信息的格式主要有 3 个容易识别出来的部分，分别是PRI、HEADER、MSG 数据包的长度小于 1024 个字节PRI 部分必须有 3、4、5 个字符，以“”结尾在方括号内的数字被称为优先级 （Priority） ，由 facility 和 severity 两个值构成信息中的 facilities 和 severities 通过十进制值进行数字的编 码一些操作系统的后台监控程序和进程被分配一个 facility 值，那些没有分配一个facility 值的进程和 daemons 将会使用“local use”的 facilities 值或者“ 用户级别”的 facilities 值下面的表格表示被指定的 Facilities 值和对应的数字代码 Numerical Code Facility 0 kernel messages 1 user-level messages 2 mail system 3 system daemons 4 security/authorization messages 5 messages generated internally by syslogd 6 line printer subsystem 7 network news subsystem 8 UUCP subsystem 9 clock daemon 10 security/authorization messages 11 FTP daemon 12 NTP subsystem 13 log audit 14 log alert 15 clock daemon 16 local use 0 (local0) 17 local use 1 (local1) 18 local use 2 (local2) 19 local use 3 (local3) 20 local use 4 (local4) 21 local use 5 (local5) 22 local use 6 (local6) 23 local use 7 (local7) 表 1 Syslog Message Facilities 每个信息优先级也有一个表示十进制 Severity 登记的参数 , 下面的表格描述出他们和对应数值。

Numerical Code Severity 0 Emergency 应急 EMERY，任何紧急情况，包括系统 PANIC1 Alert 警报 ALERT，任何需要立即注意的发生情况2 Critical 致命错误 CRIT，设备发生了关键性问题情况,包括进程 CRASH,OVERFLOW3 Error 错误 ERR 任何错误的东西，错误事件4 Warning 警告 WARNING 任何报警，警告事件5 Notice 提示 NOTICE，普通但重要的事件6 Informational 信息 INFO，有用的信息7 Debug 诊断 DEBUG， 用于调试，程序，产品设备表 2 Syslog Message Severities Priority（优先级） = facility * 8 + severity 值。

比如说，一个核心信息（ facility=0）和一个Emergency 的 severity 将会产生优先级为 0同样， 一个“local use 4”信息（facility=20）和一个 Notice 的 severity（severity=5）将会产生 165 的优先级 标 题（HEADER）部分由称为 TIMESTAMP 和 HOSTNAME 的两个域组成，PRI 结尾的“>”会马上跟着一个 TIMESTAMP，任何一个 TIMESTAMP 或者 HOSTNAME 域后面都必须跟着一个空格字符HOSTNAME 包含主机的名称，若无主机名或无法识别则显示 IP 地址如果一个 主机有多个 IP 地址，它通常会使用它传送信息的那个 IP 地址TIMESTAMP 是本机时间，采用的格式是“Mmm dd hh:mm:ss”表示月日时分秒HOSTNAME 域仅仅能够包括主机名称，Ipv4 地址或者是信息产生者的 Ipv6 地址 MSG 部分是 Syslog 数据包剩下的部分这通常包含了产生信息进程的额外信息，以及信息的文本部分MSG 部分有两个域，分别为 TAG 域和 CONTENT 域，TAG 域的值是产生信息的程序或者进程的名称，CONTENT 包含了这个信息的详细内容。

传统上来说，这个域的格式较为自由，并且给出 一些时间的具体信息TAG 是一个不许超过 32 个字符的字母数字字符串，任何一个非字母数字字符都将会终止 TAG 域，并且被假设是 CONTENT 域的开 始在大多数情况下，表示 TAG 结束的 CONTENT 域的第一个字符用左大括号 ( [ ],分号( : )或者是空格来表示syslog.conf - syslogd 的配置文件详解syslog.conf 文件是 syslogd 守护进程的主要配置文件，文件定义了记录消息的规则每条规则包含两个字段，selector 和 action两个字段用多个空格或跳格分开selector 字段定义了产生消息的设备和消息的优先权action 字段是消息的去向以#开头的行和空行都被忽略现在的 syslogd 程序可以理解扩展的语法比如将一行信息用 "\"分成两行选择器：此字段用点(.)分开两个部分--设备和优先权两个部分都开以用十进制数来定义，但最好不要那样做，会产生警告,两个部分的取值在 syslog(3)中有定义设备如下面所示：auth,authpriv,cron,daemon,kern,lpr,mail,mark,news, security,syslog,user,uucp 和从 local0 到 local7。

注：security 已经不再被使用了 ;mark 也是只限内部使用，不再被用于应用程序 ）你可以在这里定义或重定向消息设备是产生消息的子系统，例如：所有使用 syslog 的 mail 程序将使用 mail 设备记录消息优先权从低到高如下：debug,info,notice,warning,warn(同 warning),err,error(同 err),crit,alert,emerg,panic(同 emerg).error,warn,panic 是非标准的，不可以使用优先权等级定义了消息的格式原始 BSD 的作法是将所有相当或高于给定优先级别的消息都送往指定动作处本系统的 syslogd 也使用同样的规则，不过有所扩展此外，"*"可以表示所有设备或所有优先权，取决于其位置none 表示没有优先权可以用 ","分开来定义多个设备，优先权部分不可以这样做多个 selector 可以用","来分开使其指向一个 action，务必记住，每个 selector都可以重写前一个使用这条规则，可以从表达式中除去一些优先权本系统的 syslogd(8)在原 BSD 基础上有些扩充你可以在一个优先权的前面加上一个"="符号，表示只定义这一个优先权而不含高于其的优先权。

还可以用"!"符号来取反，即取小于其优先权。