Syslog学习笔记-new

('Syslog：RFC3164一、介绍1、Syslog消息是向其他模块提供情报的，不需要确认。2、操作系统、进程和应用程序用Syslog消息发送自己的状态和表明某一时间的发生。这些消息通常对管理员有一定意义。系统通常会对这些信息进行分类和记录，使得操作员可以更快地注意到这些状态信息。Syslog进程就是起到这个作用的，并且已经被广泛接受。3、Syslog进程设计比较灵活，操作员可以配置消息发送的目的主机。同时，Syslog进程收到事件消息后记录到不同的文件中并且可以显示到Console控制台上。当操作员从日志主机上看到不同设备发来的Syslog信息时应该可以区分出信息来自于哪台设备。4、Syslog协议和集成的一个基本原则是它的简便性。在发送者和接收者之间不需要严格的协调。事实上，即使接收方不接收Syslog消息，发送方仍然可以照常发送。这方便了Syslog的配置和定义。1.1事件和消息产生Syslog消息的产生有几种可能的情况，系统状态的改变、定期收集的系统数据、满足一定条件下产生的信息；这些消息中可能包含一定状态数据或告警消息Syslog模块需要对这些消息进行量化处理并简单分类，分类主要依据产生消息的工具和消息的严重程度。分类后，管理员可以有选择性地过滤一些重要和时间上紧急的消息出来看，而其他状态和通知性消息可以存放在文件里面有时间时慢慢看。设备上要求可以灵活地配置一些规则，通过配置这些规则，管理员可以指定哪些类型的消息发送到什么位置。还有几条规则虽然不强制但是建议使用，在消息的内容中体现谁是消息的产生者（模块）；在消息中包含时间和发送消息的设备的标识。没有硬盘和本地存储介质的设备也有可能产生事件消息，由于无法在本地存储，必须发送给采集器记录保存给操作员浏览。1.2消息接收者的操作接收者的操作主要包括显示，存储、转发和合并处理等等，这些不属于Syslog进程关注的范围。通常，设备会将这些消息发送给其他设备进行存储。二、传输层协议Syslog使用UDP作为传输层协议，消息的目的端口号使用514。建议消息的源端口号也使用514，也可以使用其他端口。设备发送Syslog消息给SyslogServer，不管SyslogServer有没有收到；设备应该可以被设置为同时发送消息给多个SyslogServer。三、体系结构简要如下：设备发送Syslog消息给SyslogServer，不管SyslogServer有没有收到；设备应该可以被设置为同时发送消息给多个SyslogServer。还有一些中继服务器会将自己受到的Syslog信息部分或全部转发给其他SyslogServer；并且也可以产生自己的Syslog信息。体系结构如下图所示：+------++---------+Device---->----Collector-\\+---------++------+\\\\+-----++---------+\\-->--Relay---->----Collector+-----++---------+四、数据包格式和内容IP数据包的UPD目的端口号为514必须被当作Syslog消息来处理。原始的Syslog消息和中继服务器发送的Syslog消息格式上可能会有所不同。4.1Syslog消息部分一个完整的Syslog消息由3个部分组成：PRI、消息头和消息体，总长度必须小于1024字节，没有最小长度限制；但是没有任何内容的Syslog消息不应被转发。4.1.1PRIPRI——优先级，由“<”开始，“>”结束，中间的数字由两部分组成：Facility（模块代码）和Severity（严重程度）。编码采用ASCII编码，在8Bit的字节上使用7位编码。Facility代表意义如下：NumericalCodeFacility0kernelmessages1user-levelmessages2mailsystem3systemdaemons4security/authorizationmessages(note1)5messagesgeneratedinternallybysyslogd6lineprintersubsystem7networknewssubsystem8UUCPsubsystem9clockdaemon(note2)10security/authorizationmessages(note1)11FTPdaemon12NTPsubsystem13logaudit(note1)14logalert(note1)15clockdaemon(note2)16localuse0(local0)17localuse1(local1)18localuse2(local2)19localuse3(local3)20localuse4(local4)21localuse5(local5)22localuse6(local6)23localuse7(local7)Severity代表意义如下：NumericalCodeSeverity0Emergency:systemisunusable1Alert:actionmustbetakenimmediately2Critical:criticalconditions3Error:errorconditions4Warning:warningconditions5Notice:normalbutsignificantcondition6Informational:informationalmessages7Debug:debug-levelmessages最后，“<”和“>”中间的数字是由Facility代表的数字乘以8再加上Severity代表的数字。如一个kernel模块发出的Syslog消息(Facility=0)并且Severity是Emergency(Severity=0)的话，PRI值就是0。一个"localuse4"发出的Syslog消息(Facility=20)并且Severity是Notice(Severity=5)的话，PRI的值就是165。4.1.2消息头消息头部分包含时间戳和设备的名称或IP地址，必须包含可见字符（包括所有可见字符和空格），编码方式同PRI部分。时间戳部分紧跟在PRI的“>”之后，时间戳和主机名之间有一个空格，主机名一般为设备名称，如果设备没有设置主机名也可以使用IP地址；当设备有多个IP地址时，通常使用转发该消息的IP地址。即使Syslog消息从设备的不同的接口发出，也应该设置为使用同一个源IP地址；这样一个设备的所有Syslog消息的主机名部分就是相同的。时间戳使用设备本地时间，格式为：Mmmddhh:mm:ssMmm是英文月份的简写，分别为：Jan,Feb,Mar,Apr,May,Jun,Jul,Aug,Sep,Oct,Nov,Dec。dd是日期，如果日期小于10的话在月份和日期间要多加一个空格。hh:mm:ss为本地时间的小时：分钟：秒。主机名部分为设备的名称或者设备的IPv4或IPv6地址。如果使用设备名称，则设备名称中不能包含空格，不包含域名。如果使用IPv4地址，必须使用点分十进制格式表示；如果使用IPv6地址，则在RFC2373中规定的合法格式都可以使用。主机名后应当跟随一个空格。4.1.3消息体部分Syslog包的剩余部分为消息体部分，通常包含产生这个消息的进程的补充说明和消息文本，这一部分没有结束符。消息体部分必须包含可见字符，编码方式和PRI部分和消息头部分相同。事实上，采用其他编码格式也可以，只要消息的接收者可以理解就行了。消息体部分包含两个域：标志域（TAG）和内容域（CONTENT）。标志域是发送该消息的进程或程序的名字，内容域包含消息细节。TAG域是包含字符和数字的小于32个字符的字符串，任何一个非数字和字符的字节都会结束TAG域开始CONTENT域，通常可能为“[”，“:”或空格。4.2设备产生的Syslog消息设备发送的Syslog消息并没有特殊的内容，因此所有发往UDP端口号514的消息都被强制作为Syslog消息来接收。设备发送的Syslog消息有以下几个特点：1、如果消息头部分有时间戳，必须是设备上的本地时间；2、主机名域中必须包含设备名称或设备自己的IP地址；3、如果消息中有TAG域，必须填写发送该消息的程序或进程的名称。4..3中继的Syslog消息当中继服务器接收到Syslog消息后，将会检查该消息是否还有有效的PRI，如果第一个字符不是“<”，则认为消息中不含有有效的PRI。如果第3、4或5个字符都不是“>”，则表示在消息中PRI部分不存在。如果中继服务器没有发现有效的PRI，则要继续检查消息头部分中的时间戳是否有效。4.3.1正确的PRI和时间戳如果中继服务器发现PRI和时间戳部分都是正确的，就会检查自己的配置一般来说，中继服务器会配置成转发什么优先级的Syslog消息，根据此配置决定是否转发该Syslog消息。这里需要注意的一点儿是中继服务器不负责验证时间戳，即使设备上的时间设置不正确，一样可以发送有效的Syslog消息。另外，中继服务器也不检查主机名或IP地址。4.3.2正确的PRI和无效的时间戳如果中继服务器在Syslog消息中没有找到有效的时间戳，则必须在PRI之后添加一个空格，时间戳，空格，主机名。时间戳可以使用中继服务器的本地时间，如果中继服务器知道设备的名称，可以添加主机名为设备名称；否则可以添加设备的IP地址，使用Syslog消息的源IP地址即可。原Syslog消息的剩余部分作为消息的内容部分被接在新消息后面，中继服务器无法知道产生消息的进程和程序的名字，TAG部分也就无法添加了。当中继服务器为消息添加了时间戳或时间戳与主机名之后，整个消息的长度就改变了，必须再次检查新消息的长度是否小于1024字节。如果新消息长于1024字节，就要截去多余的部分，这样也许会丢失一些重要的信息。4.3.3不正确的PRI如果中继服务器收到一个没有PRI的Syslog消息，或者Syslog消息中的PRI是未经定义的；中继服务器就必须插入一个PRI优先级为13，时间戳和主机名如上一节所示插入，原Syslog消息的作为内容部分接在新的Syslog消息后面。同样要考虑新的Syslog消息是否超长的问题。',)