syslog格式

最新推荐文章于 2023-03-06 13:37:44 发布
最新推荐文章于 2023-03-06 13:37:44 发布
阅读量1.7k 收藏
点赞数
分类专栏: linux

转自:http://wly719.iteye.com/blog/1827394

1、syslog格式介绍 

在Unix类操作系统上,syslog广泛 应用于系统日志。syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备 的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。 
完整 的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或 Level)、时间、主机名或IP、进程名、进程ID和正文。在Unix类操作系统上,能够按Facility和Severity的组合来决定什么样的日 志消息是否需要记录,记录到什么地方,是否需要发送到一个接收syslog的服务器等。由于syslog简单而灵活的特性,syslog不再仅限于 Unix类主机的日志记录,任何需要记录和发送日志的场景,都可能会使用syslog。 

长期以来,没有一个标准来规范syslog的格式,导致syslog的格式是非常随意的。最坏的情况下,根本就没有任何格式,导致程序不能对syslog 消息进行解析,只能将它看作是一个字符串。 

在2001年定义的RFC3164中,描述了BSD syslog协议: 

http://www.ietf.org/rfc/rfc3164.txt 

不过这个规范的很多内容都不是强制性的,常常是“建议”或者“约定”,也由于这个规范出的比较晚,很多设备并不遵守或不完全遵守这个规范。接下来就介绍一 下这个规范。 

约 定发送syslog的设备为Device,转发syslog的设备为Relay,接收syslog的设备为Collector。Relay本身也可以发送 自身的syslog给Collector,这个时候它表现为一个Device。Relay也可以只转发部分接收到的syslog消息,这个时候它同时表现 为Relay和Collector。 

syslog消息发送到Collector的UDP 514端口,不需要接收方应答,RFC3164建议 Device 也使用514作为源端口。规定syslog消息的UDP报文不能超过1024字节,并且全部由可打印的字符组成。完整的syslog消息由3部分组成,分 别是PRI、HEADER和MSG。大部分syslog都包含PRI和MSG部分,而HEADER可能没有。 

2、syslog的格式 
下面是一个syslog消息: 
<30>Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting. 
其中“<30>”是PRI部分,“Oct 9 22:33:20 hlfedora”是HEADER部分,“auditd[1787]: The audit daemon is exiting.”是MSG部分。 

2.1、PRI部分 
PRI部分由尖括号包含的一个数字构成,这个数字包含了程序模块(Facility)、严重性(Severity),这个数字是由Facility乘以 8,然后加上Severity得来。不知道他们为什么发明了这么一种不直观的表示方式。 
也就是说这个数字如果换成2进制的话,低位的3个bit表示Severity,剩下的高位的部分右移3位,就是表示Facility的值。 
十进制30 = 二进制0001 1110 
0001 1… = Facility: DAEMON – system daemons (3) 
…. .110 = Severity: INFO – informational (6) 

Facility的定义如下,可以看出来syslog的Facility是早期为Unix操作系统定义的,不过它预留了User(1),Local0~7 (16~23)给其他程序使用: 

Numerical             Facility 
Code 

0             kernel messages 
1             user-level messages 
2             mail system 
3             system daemons 
4             security/authorization messages (note 1) 
5             messages generated internally by syslogd 
6             line printer subsystem 
7             network news subsystem 
8             UUCP subsystem 
9             clock daemon (note 2) 
10             security/authorization messages (note 1) 
11             FTP daemon 
12             NTP subsystem 
13             log audit (note 1) 
14             log alert (note 1) 
15             clock daemon (note 2) 
16             local use 0  (local0) 
17             local use 1  (local1) 
18             local use 2  (local2) 
19             local use 3  (local3) 
20             local use 4  (local4) 
21             local use 5  (local5) 
22             local use 6  (local6) 
23             local use 7  (local7) 

Note 1 - Various operating systems have been found to utilize 
Facilities 4, 10, 13 and 14 for security/authorization, 
audit, and alert messages which seem to be similar. 
Note 2 - Various operating systems have been found to utilize 
both Facilities 9 and 15 for clock (cron/at) messages. 

Severity的定义如下: 

Numerical         Severity 
Code 

0       Emergency: system is unusable 
1       Alert: action must be taken immediately 
2       Critical: critical conditions 
3       Error: error conditions 
4       Warning: warning conditions 
5       Notice: normal but significant condition 
6       Informational: informational messages 
7       Debug: debug-level messages 
也就是说,尖括号中有1~3个数字字符,只有当数字是0的时候,数字才以0开头,也就是说00和01这样在前面补0是不允许的。 

2.2、HEADER部分 
HEADER部分包括两个字段,时间和主机名(或IP)。 
时间紧跟在PRI后面,中间没有空格,格式必须是“Mmm dd hh:mm:ss”,不包括年份。“日”的数字如果是1~9,前面会补一个空格(也就是月份后面有两个空格),而“小时”、“分”、“秒”则在前面补 “0”。月份取值包括: 
Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec 

时间后边跟一个空格,然后是主机名或者IP地址,主机名不得包括域名部分。 

因为有些系统需要将日志长期归档,而时间字段又不包括年份,所以一些不标准的syslog格式中包含了年份,例如: 
<165>Aug 24 05:34:00 CST 1987 mymachine myproc[10]: %% It’s 
time to make the do-nuts. %% Ingredients: Mix=OK, Jelly=OK # 
Devices: Mixer=OK, Jelly_Injector=OK, Frier=OK # Transport: 
Conveyer1=OK, Conveyer2=OK # %% 
这样会导致解析程序将“CST”当作主机名,而“1987”开始的部分作为MSG部分。解析程序面对这种问题,可能要做很多容错处理,或者定制能解析多种 syslog格式,而不仅仅是只能解析标准格式。 

HEADER部分后面跟一个空格,然后是MSG部分。 
有些syslog中没有HEADER部分。这个时候MSG部分紧跟在PRI后面,中间没有空格。 

2.3、MSG部分 
MSG部分又分为两个部分,TAG和Content。其中TAG部分是可选的。 
在 前面的例子中(“<30>Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting.”),“auditd[1787]”是TAG部分,包含了进程名称和进程PID。PID可以没有,这个时候中括号也是没有的。 
进程PID有时甚至不是一个数字,例如“root-1787”,解析程序要做好容错准备。 

TAG后面用一个冒号隔开Content部分,这部分的内容是应用程序自定义的。 

3、RFC3195 
BSD syslog协议使用UDP协议在网络中传递,然而UDP是一个不可靠的协议,并且syslog也没有要求接收方有所反馈。为了解决这个问题,RFC又定 义了一个新的规范来可靠的传递syslog消息,它使用TCP协议: 

http://www.ietf.org/rfc/rfc3195.txt 

不过大多数情况下,使用UDP发送不需要确认的syslog消息,已经能够满足要求了,并且这样做非常简单。因此到目前为止,RFC3195的应用还是很 少见的。 

参考文章 
http://blog.gdsyzx.edu.cn/wordpress/?p=299 
starfe-geek
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
syslog 格式学习
可木的专栏
03-06 4321
完整的syslog消息由3部分组成,分 别是PRI、HEADER和MSG。大部分syslog都包含PRI和MSG部分,而HEADER可能没有。 下面是一个syslog消息: Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting. 其中“”是PRI部分,“Oct 9 22:33:20 hlfedora”是HEADER
evtsys服务将windows日志转换为syslog格式
06-01
window日志采集器 采用evtsys收集windows日志。 基本思路是使用evtsys把windows日志转换为syslog格式,然后发送到日志服务器
Syslog格式说明
hongliangpan
07-21 516
Syslog格式说明 设备必须通过一些规则来配置,以便显示或者传递事件信息。不管管理员决定怎样配置对事件信息的处理,把这些信息发送到syslog接受者的过程一般都由下面部分构成:决定哪个帮助信息要被发送,要被发送的级别,定义远程的接受者。 被 传输的syslog信息的格式主要有3个容易识别出来的部分,分别是PRI、HEADER、MSG。数据包的长度小于1024个字节。PRI部...
syslog日志格式-RFC3164和RFC5424
u013159360的博客
07-20 8363
syslog日志格式-RFC3164和RFC5424
消息日志标准之syslog
落叶下的光
11-23 3583
参考Wikipedia-syslog摘要syslog是一个消息日志的标准.允许软件生成消息交由系统储存,再由别的软件进行传达和分析.组成 Facility : 设备标识,指明生成日志的软件标识 Severity level : 日志级别 Message : 消息 Facility表明生成日志的程序类型,不同类型可能会有不同的处理方式,下面是可用设备标识列表(定义在RFC 3164) Facili
Centos的rsyslog日志系统(五):解析syslog各种标准格式
weixin_38924500的博客
03-08 6122
1.概况 syslog是一种工业标准的协议,可用来记录设备的日志。在UNIX系统,路由器、交换机等网络设备中,系统日志(System Log)记录系统中任何时间发生的大小事件。管理者可以通过查看系统记录,随时掌握系统状况。UNIX的系统日志是通过syslogd这个进程记录系统有关事件记录,也可以记录应用程序运作事件。通过适当的配置,还可以实现运行syslog协议的机器间通信,通过分析这些网络行为日志,藉以追踪掌握与设备和网络有关的状况。 2.syslog协议标准 目前业界存在常见两种syslog日志协议,一
linux 替换文件中日期格式,linux – 在syslog中更改日期格式
weixin_36368404的博客
04-28 172
无论如何我们可以更改syslog记录的特定日志文件中的日期格式吗?我不想改变记录所有日志的方式,而只是改变日志文件.编辑:我正在使用syslogd(在FreeBSD中)这就是我的文件现在的样子:Dec 5 07:52:10 Log data 1Dec 5 07:52:10 Log data 2Dec 5 07:52:10 Log data 3这就是我希望它看起来像:20131205 07:5...
linux远程日志rsyslog服务端和客户端安装
u010154380的专栏
04-20 4670
linux远程日志rsyslog服务端和客户端安装用rsyslog的缘由: 1.防止系统崩溃无法获取系统日志分享崩溃原因,用rsyslog可以把日志传输到远程的日志服务器上 2.使用rsyslog日志可以减轻系统压力,因为使用rsyslog可以有效减轻系统的磁盘IO 3.rsyslog使用tcp传输非常可靠,可以对日志进行过滤,提取出有效的日志,rsyslog是轻量级的日志软件,在大量日志写的
sangfor-SIP-syslog格式说明-对外.pdf
09-25
Sangfor SIP syslog 格式说明 深信服科技股份有限公司版权所有的 Sangfor SIP syslog 格式说明对外 pdf 文件提供了关于安全事件日志的格式说明。该文件详细介绍了安全事件日志的字段说明、字典类型字段说明和范例。...
pino-syslog:pin用于将pino日志重新格式化为标准syslog格式的传输方式
05-27
pino-syslog从stdin接收pino日志,并将其转换为或 (syslog格式的消息,并将其写入stdout 。 默认输出格式为RFC5424。 此传输不会将消息发送到远程甚至本地syslog兼容服务器。 它仅将日志重新格式化为与syslog...
syslog-serialize:将对象序列化为 syslog 格式的消息
06-20
将对象序列化为 syslog 格式的消息。 安装 $ npm install syslog-serialize --save 用法 var serialize = require ( 'syslog-serialize' ) ; var log = serialize ( { priority : 38 , // optional time : new ...
syslog标准格式文件RFC5424
05-30
syslog标准格式文件RFC5424
Syslog格式说明
缘起宇轩阁
02-11 1245
Syslog格式说明     设备必须通过一些规则来配置,以便显示或者传递事件信息。不管管理员决定怎样配置对事件信息的处理,把这些信息发送到syslog接受者的过程一般都由下面部分构成:决定哪个帮助信息要被发送,要被发送的级别,定义远程的接受者。     被传输的syslog信息的格式主要有3个容易识别出来的部分,分别是PRI、HEADER、MSG。数据包的长度小于1024个 字节。PRI部分必须有3、4、5个字符,以“开头,然后是一个数字,并以“>”结尾。在方括号内的数字被称为优先级 (Prio
ELK 6.2.4 日志处理之syslog格式的定义
殷龙飞的专栏
07-25 2313
syslog的原始数据 syslog 2018-05-22T00:00:03.645241+08:00 192.168.255.252 time: 2018-05-21 23:57:21;danger_degree:3;breaking_sighn:0;event:[24105]Spring Data REST远程代码执行漏洞(CVE-2017-8046);src_addr:106.122.2...
思科设备命令,网络工程师收藏!
mengmeng_921的博客
03-06 5260
分别查看R1和R2的接口ip地址,发现R2的f0/0的地址配置错误(show ip int brief)。R2的f0/0接口地址192.168.2.1和R1的f0/0的接口地址192.168.1.1不在同一网段,所以无法ping通。R1的f0/0的·接口是administrator的down状态,说明f0/0接口忘记打开或被关闭。)表示请求超时,R1与R2不能通信。R2的f0/0接口是down状态,说明f0/0接口或物理线路有问题。R2的f0/0接口变为up状态,说明f0/0接口状态正常。
Linux ❀ RsyslogSyslog)服务与配置文件参数详解
无糖可乐没有灵魂
09-14 7323
文章目录1、日志服务简介2、linux系统中的常见日志3、日志服务Rsyslog(1)服务对应rpm包(2)服务配置文件(3)配置文件格式服务名称连接符号日志等级日志记录位置(4)配置文件内容(5)自定义日志记录路径4、日志轮替(1)配置文件内容详解(2)logrotate配置文件的主要参数(3)案例解析 1、日志服务简介 在Centos 6.x/Redhat 6.x中日志服务已经由rsyslog取代了原先的syslog服务,rsyslog相比syslog具有一些新的特点: 基于TCP网络协议传输日志信
linux之syslog使用说明
m0_68431045的博客
12-14 3602
几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(UDP)方式传送到远端服务器,远端接收日志服务器必须通过syslogd监听UDP 端口514,并根据 syslog.conf配置文件中的配置处理本机,接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。程序,守护进程和内核提供了访问系统的日志信息。另外,作为syslog的替代程序的新一代工具是syslog-ng,syslog-ng具有很强的网络功能,可以方便地把多台机器上的日志保存到一台中心日志服务器上。
小程序版python语言pytorch框架的图像分类猫的动作行为识别-不含数据集图片-含逐行注释和说明文档.zip
最新发布
06-19
本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01数据集文本生成制作.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集 运行02深度学习模型训练.py,
windows syslog格式查看工具
06-30
### 回答1: Windows的syslog格式查看工具是一种用于管理和查看Windows系统中syslog日志文件的工具。syslog是一种标准的网络协议,用于收集和保存系统日志信息,以便进行故障排查、性能分析和安全审计等工作。 Windows的syslog格式查看工具提供了一个直观易用的界面,可以将syslog日志文件的内容解析并展示给用户。用户可以通过该工具对日志进行搜索、过滤和排序,从而快速定位和分析日志中的关键信息。 该工具支持用户自定义日志解析规则,可以根据具体需求定义不同的日志格式。用户可以指定各个字段的名称、类型和位置,以确保日志文件可以被正确解析和展示。 此外,该工具还提供了实时监控功能,可以自动扫描指定目录中的日志文件,并实时展示更新后的内容。这使得用户可以及时发现系统中的异常情况并采取相应的措施。 除了基本的查看功能,该工具还提供了一些辅助工具,如日志导出功能,用户可以将关键日志导出为文本文件或其他格式,以便进一步分析和共享。 总之,Windows的syslog格式查看工具是一种方便实用的工具,可以帮助用户更好地管理和分析Windows系统中的syslog日志,提高系统的运行效率和安全性。 ### 回答2: Windows操作系统并没有原生的syslog日志查看工具,但可以通过安装第三方工具来实现。以下是几种常用的Windows syslog格式查看工具: 1. Kiwi Syslog Server:这是一款功能强大的syslog服务器软件,可以实时收集、分析和显示来自各种网络设备的syslog消息。它支持自定义过滤器、报警通知等功能,可方便地进行日志管理和监控。 2. LogMX:这是一个多功能的日志查看器,支持多种格式的日志文件,包括syslog。它提供了日志过滤、搜索、高亮显示等功能,可方便地筛选和展示特定的syslog消息。 3. Graylog:这是一个开源的日志管理和分析平台,可以收集、存储和分析来自各种源的日志数据,包括syslog。它提供了灵活的搜索和过滤功能,可通过图表和仪表盘查看分析结果。 无论选择哪种工具,都需要按照软件的安装指引进行安装和配置。一旦配置完成,你就可以使用该工具来查看和管理syslog格式的日志文件,以便监控系统运行状况、诊断问题等。 ### 回答3: Windows系统的日志格式是通过事件查看器(Event Viewer)进行查看和管理的。事件查看器是Windows操作系统的一个内置工具,用于收集和管理系统中发生的各种事件和错误信息。 要打开事件查看器,可以按下Win + R组合键,在运行对话框中输入"eventvwr.msc"并点击确定。然后,在事件查看器的窗口中,可以浏览不同的日志目录以查看记录的事件。 事件查看器包含了多个日志目录,其中最常用的是“应用程序”、“安全性”、“系统”、“服务器Manager”等。在这些日志目录下,可以找到不同类型的日志条目,如警告、错误、信息等。 通过选择对应的日志目录,可以查看事件的详细信息,包括时间戳、事件ID、源、任务类别、级别、描述等。这些信息能够帮助用户了解事件的发生背景和内容,为诊断和解决问题提供参考。 除了事件查看器,还有一些第三方工具可以帮助查看和分析Windows系统的日志。例如,Syslog服务器和Syslog分析器可以将各种系统事件和错误信息转发到中央日志收集器,并提供更多高级功能,如搜索、过滤、报警等。这些工具能够在大规模网络环境下更方便地管理和分析日志数据。 总之,Windows系统的日志格式查看工具主要是事件查看器,它为用户提供了一个集中管理和查看各种事件和错误信息的界面。并且,还有一些第三方工具可以提供更多高级的日志管理和分析功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值