Thứ Hai, 26 tháng 8, 2013

[Syslog-ng] The BSD syslog Protocol

The BSD syslog Protocol

Cấu trúc một đoạn tin có 3 phần PRI, HEADER, MSG
Mỗi gói tin có độ dài: 1024 bytes hoặc nhỏ hơn

PRI: phải có 3, 4, hoặc 5 ký tự và phải nằm trong "<" và ">" (mã ASCII là: %d60 và %d62)
Đại diện cho Facility và Severity theo công thức: Facility*8 + Severity

           Table 1.  syslog Message Facilities
        Numerical         Severity
          Code
0 kernel messages 1 user-level messages 2 mail system 3 system daemons 4 security/authorization messages (note 1)
           5             messages generated internally by syslogd
           6             line printer subsystem
           7             network news subsystem
           8             UUCP subsystem
           9             clock daemon (note 2)
          10             security/authorization messages (note 1)
          11             FTP daemon
          12             NTP subsystem
          13             log audit (note 1)
          14             log alert (note 1)
          15             clock daemon (note 2)
          16             local use 0  (local0)
          17             local use 1  (local1)
          18             local use 2  (local2)
          19             local use 3  (local3)
          20             local use 4  (local4)
          21             local use 5  (local5)
          22             local use 6  (local6)
          23             local use 7  (local7)

           Table 2. syslog Message Severities

        Numerical         Severity
          Code

           0       Emergency: system is unusable
           1       Alert: action must be taken immediately
           2       Critical: critical conditions
           3       Error: error conditions
           4       Warning: warning conditions
           5       Notice: normal but significant condition
           6       Informational: informational messages
           7       Debug: debug-level messages

HEADER: Lưu thời gian (timestamp), hostname hoặc IP của thiết bị. Giá trị gồm ký tự chuẩn ASCII giống phần PRI (%d33-126) và dấu cách (%d32).
- Trường TIMESTAMP nằm sau dấu ">" của phần PRI, lưu thời gian theo định dạng "Mmm dd hh:mm:ss". Trong đó Mmm là viết tắt của tháng: 
         Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec
dd là ngày trong tháng, nếu ngày <10 thì dd gồm dấu cách và số. vd: ngày 7 tháng 8 sẽ được viết là "Aug  7" với 2 dấu cách.
hh:mm:ss là thời gian cục bộ. hh hiển thị theo định dạng 24 giờ (giá trị 00 -> 23). Phút (mm) và giây (ss) có giá trị 00 -> 59
- Trường HOSTNAME lưu tên máy chủ, hoặc IP (v4 hoặc v6) của nơi gửi log. Giá trị ưu tiên là tên máy chủ, được quy định theo chuẩn STD 13. Lưu ý, trong trường này không được phép có dấu cách (space). Không đi kèm tên miền với trường hostname. Tiếp sau trường HOSTNAME là một dấu cách (space)

MGS: Lưu phần còn lại của gói tin syslog. Gia trị gồm ký tự chuẩn ASCII (%d33-126) và dấu cách (%d32).
Bao gồm 2 trường: TAG và CONTENT. Trong đó CONTENT là nội dung chi tiết của đoạn thông điệp. Phần TAG không quá 32 ký tự, bất kỳ ký tự không trong bảng chữ cái đều là ký tự đánh dấu kết thúc phần TAG. Phần lớn, ký tự đầu tiên của phần CONTENT gồm ký tự "[", ":", hoặc dấu cách.

4.2 Nguyên bản của gói tin syslog
Không có yêu cầu cụ thể nào về nội dung của gói tin syslog. Bất kỳ gói tin nào có đích là cổng 514 UDP đều hợp lệ nếu có đúng định dạng của syslog.



Không có nhận xét nào:

Đăng nhận xét