Syslog的格式说明

Syslog的格式说明
    设备必须通过一些规则来配置，以便显示或者传递事件信息。不管管理员决定怎样配置对事件信息的处理，把这些信息发送到syslog接受者的过程一般都由下面部分构成：决定哪个帮助信息要被发送，要被发送的级别，定义远程的接受者。
    被 传输的syslog信息的格式主要有3个容易识别出来的部分，分别是PRI、HEADER、MSG。数据包的长度小于1024个字节。PRI部分必须有 3、4、5个字符，以“<”开头，然后是一个数字，并以“>”结尾。在方括号内的数字被称为优先级 （Priority），由facility和severity两个值构成。信息中的facilities和severities通过十进制值进行数字的编 码。一些操作系统的后台监控程序和进程被分配一个facility值，那些没有分配一个facility值的进程和daemons将会使用“local use”的facilities值或者“用户级别”的facilities值。下面的表格表示被指定的Facilities值和对应的数字代码。
Numerical Code            Facility
0                    kernel messages                            
1                  user-level messages
2                  mail system      
3                  system daemons                             
4                  security/authorization messages            
5                  messages generated internally by syslogd   
6                  line printer subsystem                     
7                  network news subsystem                     
8                  UUCP subsystem                             
9                  clock daemon                               
10                  security/authorization messages            
11                  FTP daemon                                 
12                  NTP subsystem                              
13                  log audit                                  
14                  log alert                                  
15                  clock daemon                               
16                  local use 0  (local0)                   
17                   local use 1  (local1)                      
18                   local use 2  (local2)                      
19                   local use 3  (local3)                      
20                   local use 4  (local4)                      
21                   local use 5  (local5)                      
22                   local use 6  (local6)                      
23                   local use 7  (local7)                      
                      表1    Syslog Message Facilities
每个信息优先级也有一个表示十进制Severity登记的参数, 下面的表格描述出他们和对应数值。
Numerical Code                 Severity
        
0                   Emergency
1                   Alert
2                   Critical
3                   Error
4                   Warning
5                   Notice
6                   Informational
7                         Debug
                          
表 2   Syslog Message Severities
    Priority（优先级） = facility * 8 + severity值。比如说，一个核心信息（facility=0）和一个Emergency的severity将会产生优先级为0。同样， 一个“local use 4”信息（facility=20）和一个Notice的severity（severity=5）将会产生165的优先级。
    标 题（HEADER）部分由称为TIMESTAMP和HOSTNAME的两个域组成，PRI结尾的“>”会马上跟着一个TIMESTAMP，任何一个 TIMESTAMP或者HOSTNAME域后面都必须跟着一个空格字符。HOSTNAME包含主机的名称，若无主机名或无法识别则显示IP地址。如果一个 主机有多个IP地址，它通常会使用它传送信息的那个IP地址。TIMESTAMP是本机时间，采用的格式是“Mmm dd hh:mm:ss”表示月日时分秒。HOSTNAME域仅仅能够包括主机名称，Ipv4地址或者是信息产生者的Ipv6地址。
    MSG部分是Syslog数据包剩下的部分。这通常包含了产生信息进程的额外信息，以及信息的文本部分。MSG部分有两个域，分别为TAG域和 CONTENT域，TAG域的值是产生信息的程序或者进程的名称，CONTENT包含了这个信息的详细内容。传统上来说，这个域的格式较为自由，并且给出 一些时间的具体信息。TAG是一个不许超过32个字符的字母数字字符串，任何一个非字母数字字符都将会终止TAG域，并且被假设是CONTENT域的开 始。在大多数情况下，表示TAG结束的CONTENT域的第一个字符用左大括号( [ ],分号( : )或者是空格来表示。