Centos的rsyslog日志系统(五) :分析syslog的各种标准格式)1.概述2.syslog协议标准2.1 RFC5424协议2.2 RFC3164协议2.syslog配置文件中为用户提供
1 .概况
syslog是行业标准协议,可用于记录设备日志。 在UNIX系统、路由器和交换机等网络设备上,“系统日志”(System Log )会记录系统中随时发生的大小事件。 管理员可以通过查看系统记录,随时掌握系统状况。 UNIX系统日志通过名为syslogd的进程记录系统相关的事件记录,还记录APP应用程序的动作事件。 通过适当的配置,也可以实现执行syslog协议的设备间通信,通过分析这些网络行为日志,可以跟踪掌握设备和网络的相关状况。
2.syslog协议标准目前存在两种行业常见的syslog日志协议。 一个是2009年草案协议RFC524,另一个是2001年的RFC3164协议。 下面介绍了这两种协议之间的区别,以便在今后的实践中可以利用grok分析syslog日志。
2.1 RFC5424协议RFC5424协议包含以下字段信息,具体信息可参考官方协议(https://tools.IETF.org/html/RFC 5424 )
priversionsptimestampsphostnamespapp-namespprocidspmsgid
通过一些例子说明这些字段的代表性信息。
312019-07-11t 22336014336015.003 za liyun.example.com Ali-id47-BOM ' su root ' failedforlonvickon/dev/pts/8 ' ' pri---- 34版本----1 timestamp---- 2019-07-11t 22336014336015.003 z hostname---- a liyun.example.cccc 具体信息见官方协议(https://tools.IETF.org/html/RFC 3164 )
PRI HEADER[TIME HOSTNAME] MSG
通过一些例子说明这些字段的代表性信息。
30 oct 9223360:20 hlfedoraauditd [ 1787 ] 3360 theauditdaemonisexiting.' ' pri---30 header-time---oct 9223360336020-hostname-- hlfedoramsg-tag-audder 在ting.--'''3.syslog配置文件中,为用户自定义了几种常见格式的syslog 3.1 TraditionalFormat格式的日志内容格式。
may 510336020336057 izbp 1a 65 x3R1 vhp e94 fi2qzsystemd : startedsystemloggingservice.file format格式
日志格式如下:
2019-05-06t 09336026336007.87459308336000 izbp 1a 65 x3R1 vhp e94 fi2qz root :834753 r syslog _ syslog protocol 23格式
日志格式如下:
1312019-05-06t 11336050336016.01555408336000 izbp 1a 65 x3R1 vhp e94 fi2qz root---- twishrsyslog _ debug格式
日志格式如下:
2019-05-06t 14336029336037.55885408336000 izbp 1a 65 x3R1 vhp e94 fi2qz root : environmentfluentrfc 5424格式
日志格式如下:
1612013-02-28t 12336000336000.003 z 192.168.0.1 fluentd 1111 id 24224 [ examples did @ 20224 iut='3' efluentrfc 3164格式]
日志格式如下:
6 feb 2812336000336000192.168.0.1 fluentd [ 11111 ] : [ error ] syslog test4. r syslog保留的模板名称/etc/r syslog.ccccon
# usedefaulttimestampformat $ actionfiledefaulttemplatersyslog _ traditionalforwardformat以" rsyslog_ "开头的模板名称通用系统模板RSYSLOG_TraditionalFileFormat -使用传统样式不太精确时间戳的默认日志文件格式RSYSLOG_FileFormat -“现代”日志文件格式与趋势文件格式类似。 但是,更精确的时间戳和时区信息r syslog _ traditionalforwardformat -使用传统样式的传输格式。 时间戳精度较低,通常用于将日志消息传输到其他syslogd或3.12.5版之前的rsyslogdrsyslog _ sysklogdfilefile选项spacelfonreceivele 如果使用escapecontrolcharactersonreceiveoff和$DropTrailingLFOnReception off,则日志格式将遵循sysklooff并将日志消息发送到r syslog3. 12.5或更高版本r syslog _ syslog protocol 23 format-IETF建议使用由internet-draft IETF-syslog-protocol-23指定的格式。此格式有一些改进rsyslog消息分析器程序(message parser )可以读取该格式,因此可以在最近的rsyslog中使用。 在不支持的syslog版本中,可能直接拒绝此格式,因此在使用之前最好检查。 【注】最终RFC标准制定后,格式可能不会更改,但也可能是调试r syslog _ debug格式属性故障的特殊格式。 对于生产和远程传输,请不要使用此格式的参考文章。
3359 developer.a liyun.com/article/712362