⑴Syslog 格式和字段
⑵每条 syslog 信息包含一个带有字段的信息头,这些字段是结构化的数据,使得分析和路由事件更加容易。下面是我们使用的用来产生上面的 syslog 例子的格式,你可以将每个值匹配到一个特定的字段的名称上。
⑶.《%pri%》%protocol-version% %timestamp:::date-rfc% %HOSTNAME% %app-name% %procid% %msgid% %msg%n
⑷下面,你将看到一些在查找或排错时最常使用的 syslog 字段:
⑸时间戳 (上面的例子为 --T::.Z 暗示了在系统中发送该信息的时间和日期。这个时间在另一系统上接收该信息时可能会有所不同。上面例子中的时间戳可以分解为:
⑹、-- 年,月,日。
⑺、T 为时间戳的必需元素,它将日期和时间分隔开。
⑻、::. 是 小时制的时间,包括进入下一秒的毫秒数(。
⑼、Z 是一个可选元素,指的是 UTC 时间,除了 Z,这个例子还可以包括一个偏移量,例如 -:,这意味着时间从 UTC 偏移 小时,即 PST 时间。
⑽主机名 字段(在上面的例子中对应 server. 指的是主机的名称或发送信息的系统。
⑾应用名 字段(在上面的例子中对应 sshd:auth 指的是发送信息的程序的名称。
⑿优先级字段或缩写为 pri (在上面的例子中对应 告诉我们这个事件有多紧急或多严峻。它由两个数字字段组成:设备字段和紧急性字段。紧急性字段从代表 debug 类事件的数字 一直到代表紧急事件的数字 。设备字段描述了哪个进程创建了该事件。它从代表内核信息的数字 到代表本地应用使用的 。
⒀Pri 有两种输出方式。第一种是以一个单独的数字表示,可以这样计算:先用设备字段的值乘以 ,再加上紧急性字段的值:(设备字段( + (紧急性字段。第二种是 pri 文本,将以“设备字段。紧急性字段” 的字符串格式输出。后一种格式更方便阅读和搜索,但占据更多的存储空间。
⒁以上就是Linux日志创建过程的介绍了,学会了创建Linux日志的过程,就能更好地掌握Linux日志查看和Linux日志分析。