syslog 日志

syslog日志是系统日志的一种，可以存放在本地也可以发送到syslog日志服务器，

但是syslog日志由于的格式不统一，在日常工作中审计syslog日志是一种很麻烦的

事情。不过在2001出现了一份关于syslog标准的协议（建议）。

生成发送日志的叫做：Device

转发的叫做：Relay（可以作为Device或Coolector）

接收的叫做：Collector

传输标准使用UDP，消息大小小于1024个字节，端口使用514

PS：只是建议。

syslog日志可以分为三部分：

4.1 syslog Message Parts

   The full format of a syslog message seen on the wire has three
   discernable parts.  The first part is called the PRI, the second part
   is the HEADER, and the third part is the MSG.  The total length of
   the packet MUST be 1024 bytes or less.  There is no minimum length of
   the syslog message although sending a syslog packet with no contents
   is worthless and SHOULD NOT be transmitted.

标准格式：<23>Oct 9 23:33:20 192.168.0.1 ssh[1787]: Accepted publickey for root from.

PRF部分

Numerical             Facility
          Code

           0             kernel messages 内核信息；
           1             user-level messages 用户进程信息；
           2             mail system　　 电子邮件相关信息；
           3             system daemons　　后台进程相关信息；
           4             security/authorization messages (note 1)

           5             messages generated internally by syslogd　　 系统日志信息
           6             line printer subsystem 打印服务相关信息。
           7             network news subsystem　　新闻组服务器信息
           8             UUCP subsystemuucp 生成的信息
           9             clock daemon (note 2) 时钟守护进程
          10             security/authorization messages (note 1) 安全授权信息
          11             FTP daemon
          12             NTP subsystem 子进程
          13             log audit (note 1) 日志审核
          14             log alert (note 1)日志警报
          15             clock daemon (note 2)
          16             local use 0  (local0)本地用户信息
          17             local use 1  (local1)本地用户信息
          18             local use 2  (local2)本地用户信息
          19             local use 3  (local3)本地用户信息
          20             local use 4  (local4)本地用户信息
          21             local use 5  (local5)本地用户信息
          22             local use 6  (local6)本地用户信息
          23             local use 7  (local7)本地用户信息

           Table 1.  syslog Message Facilities

        Note 1 - Various operating systems have been found to utilize
           Facilities 4, 10, 13 and 14 for security/authorization,
           audit, and alert messages which seem to be similar.
        Note 2 - Various operating systems have been found to utilize
           both Facilities 9 and 15 for clock (cron/at) messages.

   Each message Priority also has a decimal Severity level indicator.
   These are described in the following table along with their numerical
   values.

        Numerical         Severity
          Code

           0       Emergency: system is unusable　　紧急状态：系统无法使用
           1       Alert: action must be taken immediately　　警报：必须立即采取行动
           2       Critical: critical conditions　　临界：临界条件
           3       Error: error conditions　　错误：错误条件
           4       Warning: warning conditions　　警告：警告条件
           5       Notice: normal but significant condition　　通知：正常但重要的条件
           6       Informational: informational messages　　信息：信息消息
           7       Debug: debug-level messages　　调试：调试级别消息

           Table 2. syslog Message Severities

HEADER部分（可选）　　包括时间和HOST（主机或IP）　　时间　　　　格式为：MM dd hh:mm:ss　　　　　　用数字表示　　　　　　其中月MM为英文缩写：Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec　　　　　　有些长期日志可能会增加年字段。　　HOST　　　　主机或IP,无域名。MSG部分　　包括TAG:Content　　TAG（可选）：表示进程名及其进程号；格式：p[343]或p-343　　Content：表示应用程序的自定义信息。

这是对syslog日志格式的简单了解，为以后的日志审计提供基础

原文地址：https://www.cnblogs.com/qingkongwuyun/p/9095904.html

时间： 2024-10-10 05:50:29

syslog 日志的相关文章

十、syslog日志与loganalyzer日志管理

10.1.rsyslog简介 syslog是一个历史悠久的日志系统.几乎所有的UNIX和Linux操作系统都采用syslog进行系统日志的管理和配置.Linux系统内核和许多程序会产生各种错误信息.警告信息和其他的提示信息.syslog可以根据信息的来源以及信息的重要程度将信息保存到不同的日志文件中.在默认的syslog配置下,日志文件通常都保存在/var/log目录下,在Centos6中,syslog的守护进程为rsyslog,系统启动时,默认会自动运行rsyslog守护进程. 在syslog

编译bash实现history的syslog日志记录

摘要: 原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 .作者信息和本声明.否则将追究法律责任.http://koumm.blog.51cto.com/703525/1763145 一.编译BASH实现bash的syslog日志记录功能 1. 本文将通过bash软件实现history记录到syslog日志的功能,并通过该方式可以实现实时的传送到了远端的日志集中服务器上,可以实现操作目志的审计功能. 原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 .作者信息和本声明

sudo配合syslog日志审计记录用户操作

sudo配合syslog日志审计说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户操作一.安装sudo命令,syslog服务(centos6.5为rsyslog服务) [[email protected] ~]# rpm -qa |egrep "sudo|syslog" rsyslog-5.8.10-8.el6.i686 sudo-1.8.6p3-12.el6.i686 如果没有安装就用yum安装一下二.配置/etc/sudoers [

Linux syslog日志系统详解

一. syslog简介 syslog是一种工业标准的协议,可用来记录设备的日志.在UNIX系统,路由器.交换机等网络设备中,系统日志(System Log)记录系统中任何时间发生的大小事件.管理者可以通过查看系统记录,随时掌握系统状况.UNIX的系统日志是通过syslogd这个进程记录系统有关事件记录,也可以记录应用程序运作事件.通过适当的配置,我们还可以实现运行syslog协议的机器间通信,通过分析这些网络行为日志,藉以追踪掌握与设备和网络有关的状况. 功能:记录至系统记录. 二 . sysl

syslog日志格式解析

在网上搜的文章,写的很全乎.摘抄如下,供大家参考学习 1.介绍在Unix类操作系统上,syslog广泛应用于系统日志.syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器.接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理.常见的应用场景是网络管理工具.安全管理系统.日志审计系统. 完整的syslog日志中包含产生日志的程序模块(Facility).严重性(Severity或 Level).时间.主机名或I

history命令添加时间及记录到syslog日志

history记录中添加时间,用户地址等信息 vi /etc/profile export HISTTIMEFORMAT=" %F %T `who -u am i 2> /dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` `whoami` " history记录添加到 syslog日志方法一:推荐 vi /etc/profile function log2syslog{ declare COMMAND COMMAND=

GNU Linux syslog守护进程简介及syslog日志写入例子

rsyslog进程 syslog是记录系统中的日志记录的一个工具,可以支持本地的.也可以支持远程的日志的写入. 在LinuxMint环境中,基于upstart的机制的后台守护程序是放在/etc/init/目录下的,可使用下如下的命令进行查看具体的启动脚本: [email protected]:/var/log$ less /etc/init/rsyslog.conf 查看当前rsyslogd是否已经启动: [email protected]:/var/log$ initctl list | gr

logstash收集syslog日志

logstash收集syslog日志注意:生产用syslog收集日志!!! 编写logstash配置文件 #首先我用rubydebug测试数据 [[email protected] conf.d]# cat syslog.conf input{ syslog{ type => "system-syslog" host => "192.168.247.135" port => "514" } } output{ stdout{ c

利用Syslog Watcher在windows下部署syslog日志服务器

1.概述 syslog协议是各种网络设备.服务器支持的网络日志记录标准.Syslog消息提供有关网络事件和错误的信息.系统管理员使用Syslog进行网络管理和安全审核. 通过专用的syslog服务器和syslog协议将来自整个网络的事件记录整合到一个中央存储库中,对于网络安全具有重大意义,syslog日志服务器可收集,解析,存储,分析和解释系统日志消息给专业网络安全管理员,有助于提高网络的稳定性和可靠性. 通过Syslog Watcher可在windows平台搭建日志集中服务器,便于管理并满足合