Syslog的格式说明
设备必须通过一些规则来配置,以便显示或者传递事件信息。不管管理员决定怎样配置对事件信息的处理,把这些信息发送到syslog接受者的过程一般都由下面部分构成:决定哪个帮助信息要被发送,要被发送的级别,定义远程的接受者。
被 传输的syslog信息的格式主要有3个容易识别出来的部分,分别是PRI、HEADER、MSG。数据包的长度小于1024个字节。PRI部分必须有 3、4、5个字符,以“<”开头,然后是一个数字,并以“>”结尾。在方括号内的数字被称为优先级 (Priority),由facility和severity两个值构成。信息中的facilities和severities通过十进制值进行数字的编 码。一些操作系统的后台监控程序和进程被分配一个facility值,那些没有分配一个facility值的进程和daemons将会使用“local use”的facilities值或者“用户级别”的facilities值。下面的表格表示被指定的Facilities值和对应的数字代码。
Numerical Code Facility
0 kernel messages
1 user-level messages
2 mail system
3 system daemons
4 security/authorization messages
5 messages generated internally by syslogd
6 line printer subsystem
7 network news subsystem
8 UUCP subsystem
9 clock daemon
10 security/authorization messages
11 FTP daemon
12 NTP subsystem
13 log audit
14 log alert
15 clock daemon
16 local use 0 (local0)
17 local use 1 (local1)
18 local use 2 (local2)
19 local use 3 (local3)
20 local use 4 (local4)
21 local use 5 (local5)
22 local use 6 (local6)
23 local use 7 (local7)
表1 Syslog Message Facilities
每个信息优先级也有一个表示十进制Severity登记的参数, 下面的表格描述出他们和对应数值。
Numerical Code Severity
0 Emergency
1 Alert
2 Critical
3 Error
4 Warning
5 Notice
6 Informational
7 Debug
表 2 Syslog Message Severities
Priority(优先级) = facility * 8 + severity值。比如说,一个核心信息(facility=0)和一个Emergency的severity将会产生优先级为0。同样, 一个“local use 4”信息(facility=20)和一个Notice的severity(severity=5)将会产生165的优先级。
标 题(HEADER)部分由称为TIMESTAMP和HOSTNAME的两个域组成,PRI结尾的“>”会马上跟着一个TIMESTAMP,任何一个 TIMESTAMP或者HOSTNAME域后面都必须跟着一个空格字符。HOSTNAME包含主机的名称,若无主机名或无法识别则显示IP地址。如果一个 主机有多个IP地址,它通常会使用它传送信息的那个IP地址。TIMESTAMP是本机时间,采用的格式是“Mmm dd hh:mm:ss”表示月日时分秒。HOSTNAME域仅仅能够包括主机名称,Ipv4地址或者是信息产生者的Ipv6地址。
MSG部分是Syslog数据包剩下的部分。这通常包含了产生信息进程的额外信息,以及信息的文本部分。MSG部分有两个域,分别为TAG域和 CONTENT域,TAG域的值是产生信息的程序或者进程的名称,CONTENT包含了这个信息的详细内容。传统上来说,这个域的格式较为自由,并且给出 一些时间的具体信息。TAG是一个不许超过32个字符的字母数字字符串,任何一个非字母数字字符都将会终止TAG域,并且被假设是CONTENT域的开 始。在大多数情况下,表示TAG结束的CONTENT域的第一个字符用左大括号( [ ],分号( : )或者是空格来表示。
分享到:
相关推荐
Sangfor SIP syslog 格式说明 深信服科技股份有限公司版权所有的 Sangfor SIP syslog 格式说明对外 pdf 文件提供了关于安全事件日志的格式说明。该文件详细介绍了安全事件日志的字段说明、字典类型字段说明和范例。...
- `ConversionPattern`:定义日志输出的格式,可根据需求进行自定义。 #### 测试配置 配置完成后,可通过命令行发送一条测试日志,以验证log4j与syslog的集成是否成功: ```bash /usr/bin/logger -p local6.info ...
综上所述,深信服NTA通过syslog发送的数据格式包含丰富的安全事件信息,有助于安全团队实时监测网络状况,识别潜在威胁,并采取相应的防御措施。这种详细的数据记录和分析对于提升网络安全防护能力至关重要。
消息被传输时,它们会被封装在一个结构化的格式中,包括以下主要部分: 1. **优先级**:用于表示消息的重要程度,由两个部分组成—日志级别和设备类型。 2. **时间戳**:记录日志事件发生的时间。 3. **主机名**:...
#### 二、配置说明 Syslog-ng的核心配置文件位于`/etc/syslog-ng.conf`。其配置结构遵循以下模型:`LOG STATEMENTS { SOURCES - FILTERS - DESTINATIONS }`,即消息路径由消息源、过滤器与目的地三部分组成。 #####...
- **配置示例**:提供了详细的配置文件格式说明及示例,帮助用户快速上手。 #### 五、日志收集与处理 - **多平台支持**:支持从多种操作系统(如 Windows、Linux 等)收集日志。 - **日志处理**:支持基于条件的...
对于不同类型的Unix,标准UnixLog系统的设置,实际上除了一些关键词的不同,系统的syslog.conf格式是相同的。syslog采用可配置的、统一的系统登记程序,随时从系统各处接受log请求,然后根据/etc/syslog.conf中的...
- **确认端口和编码格式**:确保Syslog服务器配置正确接收自DAS的日志信息的端口(通常是UDP 514)和编码格式(如ASCII或UTF-8)。 #### 6. 效果呈现 - **确保DAS设备已经审计到业务系统日志**:在进行同步测试之前...
1. **C#实现的syslog守护进程**:利用C#的.NET框架,开发者创建了一个能够在Windows操作系统上运行的服务,该服务接收syslog消息,并将其转换为Windows事件日志格式。 2. **与Windows事件日志的集成**:程序通过...
它定义了一种标准格式,使得不同操作系统和应用可以共享日志信息。rsyslog是syslog协议的一个强大实现,具有更高级的功能,如可靠传输、过滤、模块化设计和对多种协议的支持。 要搭建syslog\rsyslog日志服务器,你...
标题中的“Eventlog To Syslog Translator”是一款工具,它的主要功能是将Windows操作系统的事件日志(Eventlog)转换成Syslog格式,以便于在多平台环境中进行日志管理和分析。Syslog是一种广泛使用的网络设备日志协议...
它可以解析syslog消息中的嵌入式格式数据,并将其拆分成独立的数据库字段。这种功能极大地提升了日志数据的可读性和查询效率,有助于运维人员快速定位问题,进行故障排除。例如,原本杂乱无章的日志信息,经过syslog...
3. `Event Log To Syslog Docs.pdf`:这可能是软件的用户手册或文档,包含了详细的使用指南、配置说明以及可能的故障排除步骤,用户可以通过查阅这份PDF文件来了解如何有效地使用该工具。 4. `LICENSE.TXT`:这是一...
SYSLOG外发配置包括开启SYSLOG外发插件、调整SYSLOG外发插件订阅关系、配置SYSLOG外发插件和测试SYSLOG外发等步骤。 知识点三:SNMP外发配置 SNMP外发配置是天融信数据库审计网络审计系统的一种日志外发方式。通过...
1. **dlink-syslog-1.1-beta-sc.pl**:这是主要的Perl脚本文件,负责连接到D-Link路由器,提取日志,并将其格式化为syslog兼容的格式。 2. **AUTHORS**:列出对项目做出贡献的作者和开发者,提供了联系他们或获取更...
这一步骤可能包括对日志条目按照时间戳排序、去除重复项、格式化输出等。 其次,这些Perl脚本能够将处理后的日志信息插入到数据库中。数据库存储提供了快速检索和查询的能力,有助于实现日志的长期保存和历史查询。...
"evtsys"就是这样一款工具,它能够将Windows的event日志转换为syslog格式。 "evtsys"是一款经典且最新的日志转换程序,专门设计用于将Windows XP(32位)和Windows 2003服务器的事件日志转换为syslog协议。Syslog是...
它支持多种协议,包括syslog(标准的日志协议)和其他自定义格式。Syslog-ng的强大之处在于它的灵活性和可扩展性,能够适应复杂的日志管理需求,例如日志数据的中央收集、分析和报告。在Linux和Unix系统中,syslog-...
5. **日志解析**:支持多种日志格式,包括Cisco IOS日志,能够解析并归类日志信息。 6. **报表与分析**:提供丰富的报告生成器,便于进行趋势分析和故障排查。 7. **安全存储**:对日志数据进行安全保护,支持备份和...