官方说明
一个很不错的rfc文档下载网址。
Document Retrieval » RFC Editor
RFC 5424: The Syslog Protocol
6. Syslog Message FormatThe syslog message has the following ABNF [RFC5234] definition:SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG]HEADER = PRI VERSION SP TIMESTAMP SP HOSTNAMESP APP-NAME SP PROCID SP MSGIDPRI = "<" PRIVAL ">"PRIVAL = 1*3DIGIT ; range 0 .. 191VERSION = NONZERO-DIGIT 0*2DIGITHOSTNAME = NILVALUE / 1*255PRINTUSASCIIAPP-NAME = NILVALUE / 1*48PRINTUSASCIIPROCID = NILVALUE / 1*128PRINTUSASCIIMSGID = NILVALUE / 1*32PRINTUSASCIITIMESTAMP = NILVALUE / FULL-DATE "T" FULL-TIMEFULL-DATE = DATE-FULLYEAR "-" DATE-MONTH "-" DATE-MDAYDATE-FULLYEAR = 4DIGITDATE-MONTH = 2DIGIT ; 01-12DATE-MDAY = 2DIGIT ; 01-28, 01-29, 01-30, 01-31 based on; month/yearFULL-TIME = PARTIAL-TIME TIME-OFFSETPARTIAL-TIME = TIME-HOUR ":" TIME-MINUTE ":" TIME-SECOND[TIME-SECFRAC]TIME-HOUR = 2DIGIT ; 00-23TIME-MINUTE = 2DIGIT ; 00-59TIME-SECOND = 2DIGIT ; 00-59TIME-SECFRAC = "." 1*6DIGITTIME-OFFSET = "Z" / TIME-NUMOFFSETTIME-NUMOFFSET = ("+" / "-") TIME-HOUR ":" TIME-MINUTESTRUCTURED-DATA = NILVALUE / 1*SD-ELEMENTSD-ELEMENT = "[" SD-ID *(SP SD-PARAM) "]"SD-PARAM = PARAM-NAME "=" %d34 PARAM-VALUE %d34SD-ID = SD-NAMEPARAM-NAME = SD-NAMEPARAM-VALUE = UTF-8-STRING ; characters '"', '\' and; ']' MUST be escaped.SD-NAME = 1*32PRINTUSASCII; except '=', SP, ']', %d34 (")MSG = MSG-ANY / MSG-UTF8MSG-ANY = *OCTET ; not starting with BOMMSG-UTF8 = BOM UTF-8-STRINGBOM = %xEF.BB.BF
中文翻译
SP表示空格(space),字段为空均用 - 进行填充。
# 一条信息的构成
SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG] # 最后的MSG是可省略的
# HEADER = 优先级 版本 空格 时间戳 空格 主机名 空格 应用名 空格 进程id 空格 信息id
HEADER = PRI VERSION SP TIMESTAMP SP HOSTNAME
SP APP-NAME SP PROCID SP MSGID
# PRI优先级
PRI = "<" PRIVAL ">" # 优先级 <0>
# PRI优先级的值
PRIVAL = 1*3DIGIT ; range 0 .. 191 # 3位数字, 0到191
# syslog版本号
VERSION = NONZERO-DIGIT 0*2DIGIT # 默认为 RFC5424默认为1
# 主机名
HOSTNAME = NILVALUE / 1*255PRINTUSASCII # - 或 255位可打印ASCII值
# 应用名
APP-NAME = NILVALUE / 1*48PRINTUSASCII # - 或 48位可打印ASCII值
# 进程ID
PROCID = NILVALUE / 1*128PRINTUSASCII # - 或 128位可打印ASCII值
# 信息ID
MSGID = NILVALUE / 1*32PRINTUSASCII # - 或 32位可打印ASCII值
# 时间戳
TIMESTAMP = NILVALUE / FULL-DATE "T" FULL-TIME # - 或 "0000-00-00"
# 完整日期格式
FULL-DATE = DATE-FULLYEAR "-" DATE-MONTH "-" DATE-MDAY # "0000-00-00"
# 年
DATE-FULLYEAR = 4DIGIT # 四位数字
# 月
DATE-MONTH = 2DIGIT ; 01-12 # 两位数字
# 日
DATE-MDAY = 2DIGIT ; 01-28, 01-29, 01-30, 01-31 based on month/year
# 完整时间(带时区)
FULL-TIME = PARTIAL-TIME TIME-OFFSET
# 时间(不带时区)
PARTIAL-TIME = TIME-HOUR ":" TIME-MINUTE ":" TIME-SECOND # 23:59:59
[TIME-SECFRAC]
# 小时
TIME-HOUR = 2DIGIT ; 00-23 # 两位数字
# 分
TIME-MINUTE = 2DIGIT ; 00-59 # 两位数字
# 秒
TIME-SECOND = 2DIGIT ; 00-59 # 两位数字
# 时间的小数部分
TIME-SECFRAC = "." 1*6DIGIT # 6位数字
TIME-OFFSET = "Z" / TIME-NUMOFFSET # 相对于标准时区的偏移, "Z" 或 +/- 23:59
# 相对于便准时区的偏移
TIME-NUMOFFSET = ("+" / "-") TIME-HOUR ":" TIME-MINUTE # +/- 23:59
# 结构化数据
STRUCTURED-DATA = NILVALUE / 1*SD-ELEMENT # - 或 SD-ELEMENT
SD-ELEMENT = "[" SD-ID *(SP SD-PARAM) "]" # [SD-ID*( PARAM-NAME="PARAM-VALUE")]
SD-PARAM = PARAM-NAME "=" %d34 PARAM-VALUE %d34 # PARAM-NAME="PARAM-VALUE"
SD-ID = SD-NAME # SD-ID
PARAM-NAME = SD-NAME # 参数名
PARAM-VALUE = UTF-8-STRING # utf-8字符, '"', '\' 和 ']'必须被转义
SD-NAME = 1*32PRINTUSASCII # 1到32位可打印ascii值,除了'=',空格, ']', 双引号(")
MSG = MSG-ANY / MSG-UTF8 # 信息
MSG-ANY = *OCTET ; not starting with BOM # 八进制字符串 不以BOM开头
MSG-UTF8 = BOM UTF-8-STRING # utf-8格式字符串
BOM = %xEF.BB.BF # 表明编码方式,以 EF BB BF开头表明utf-8编码
UTF-8-STRING = *OCTET # RFC 3629规定的字符
OCTET = %d00-255 # ascii
SP = %d32 # 空格
PRINTUSASCII = %d33-126 # ascii值的33-126,即数字、大小写字母、标点符号
NONZERO-DIGIT = %d49-57 # ascii的49-57
DIGIT = %d48 / NONZERO-DIGIT # ascii的48-57
NILVALUE = "-" # 无对应值
名称解释
PRI(优先级)
优先级使用"<“和”>"括起来,中间是1到3位数字,优先PRIVAL是具体的数值,由设备编号和日志等级两部份通过计算获得,计算公式为:
PRIVAL = Facility * 8 + severity
例如"local use 4"信息(Facility=20) 的日志级别是Notice (Severity=5),那么优先级是20 * 8 + 5 = 165。
# 设备编号Numerical FacilityCode0 kernel messages1 user-level messages2 mail system3 system daemons4 security/authorization messages5 messages generated internally by syslogd6 line printer subsystem7 network news subsystem8 UUCP subsystem9 clock daemon10 security/authorization messages11 FTP daemon12 NTP subsystem13 log audit14 log alert15 clock daemon (note 2)16 local use 0 (local0)17 local use 1 (local1)18 local use 2 (local2)19 local use 3 (local3)20 local use 4 (local4)21 local use 5 (local5)22 local use 6 (local6)23 local use 7 (local7)
# 日志等级Numerical SeverityCode0 Emergency: system is unusable1 Alert: action must be taken immediately2 Critical: critical conditions3 Error: error conditions4 Warning: warning conditions5 Notice: normal but significant condition6 Informational: informational messages7 Debug: debug-level messages
VERSION(版本号)
VERSION指的是Syslog协议的版本,RFC5424用的是版本号是"1"。
TIMESTAMP(时间戳)
- “T”、"Z"字母必须大写
- "T"是必需的
- 不能使用闰秒
- 如果无法找到时间戳,要使用"-"代替
# 例1
1985-04-12T23:20:50.52Z
# 例2
1985-04-12T19:20:50.52-04:00
# 例3
2003-10-11T22:14:15.003Z
# 例4
2003-08-24T05:14:15.000003-07:00
# 无效的时间戳,小数点后只能保留6位
2003-08-24T05:14:15.000000003-07:00
HOSTNAME(主机名)
主机名的写法应当优先选用下面的写法:
- FQDN 完全合格域名/全称域名
- Static IP address 静态IP
- hostname 主机名
- Dynamic IP address 动态ip
- the NILVALUE “-”
APP-NAME(应用名)
APP-NAME用于识别产生信息的设备或应用,如果无法得知生成设备或应用,则使用"-"代替。
PROID(进程ID)
PROID的值一般为进程名称或进程ID,如果无法得知,则使用"-"代替。PROID常用于分析尽日志生成进程的连续性,但并不是十分可靠,因为重启了进程之后可能还会分配到与原来相同的ID。
MSGID(消息ID)
MSGID用于识别信息的类型,例如"TCPIN"和"TCPOUT"分别代表TCP数据的流入和流出。如果无法得知类型则使用"-"代替。
STRUCTURED-DATA(结构化数据)
STRUCTURED-DATA提供了一种记录被良好定义易于被解析的数据的数据格式。例如它可以用于记录系统的元信息或应用相关的信息。
STRUCTURED-DATA可以包含零到多条结构化数据,每条结构化数据也被称作"SD-ELEMENT",如果包含0条信息,则必须使用"-"作为占位符。
- SD-ELEMENT由名字和键值对参数组成,名字被称作"SD-ID",键值对被称作"SD-PARAM"。
- SD-ID在一条信息中必须唯一,用于识别SD-ELEMENT的类型和目的
- SD-PARAM由PARAM-NAME和PARAM-VALUE组成,IANA定义了所有可用的SD-ID和PARAM
# 有效例子1
[exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"]
# 有效例子2:两个SD-ELEMENT
[exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"] [examplePriority@32473 class="high"]
# 无效例子:两个SD-ELEMENT之间不能用空格
[exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"]
# 无效例子:左括号之后不能有空格
[ exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"][examplePriority@32473 class="high"]
# 有效例子
[sigSig ver="1" rsID="1234" ... signature="..."]
MSG(消息)
MSG没有固定的格式,应当使用unicode字符集,utf-8的编码方式。
实例
"""
Example1:
<34>1 2019-07-11T22:14:15.003Z aliyun.example.com ali - ID47 - BOM'su root' failed for lonvick on /dev/pts/8
"""
PRI -- 34
VERSION -- 1
TIMESTAMP -- 2019-07-11T22:14:15.003Z
HOSTNAME -- aliyun.example.com
APP-NAME -- ali
PROCID -- 无
MSGID -- ID47
MESSAGE -- 'su root' failed for lonvick on /dev/pts/8
"""
Example2:
<165>1 2019-07-11T22:14:15.000003-07:00 192.0.2.1 myproc 8710 - - %% It's time to make the do-nuts.
"""
PRI -- 165
VERSION -- 1
TIMESTAMP -- 2019-07-11T05:14:15.000003-07:00
HOSTNAME -- 192.0.2.1
APP-NAME -- myproc
PROCID -- 8710
STRUCTURED-DATA -- “-”
MSGID -- “-”
MESSAGE -- "%% It's time to make the do-nuts."
"""
Example3: - with STRUCTURED-DATA
<165>1 2019-07-11T22:14:15.003Z aliyun.example.comevntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"] BOMAn applicationevent log entry...
"""
PRI -- 165
VERSION -- 1
TIMESTAMP -- 2019-07-11T22:14:15.003Z
HOSTNAME -- aliyun.example.com
APP-NAME -- evntslog
PROCID -- "-"
MSGID -- ID47
STRUCTURED-DATA -- [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"]
MESSAGE -- An application event log entry...
报文分析
测试命令
logger -t hello -p "local7.info" "cwr test"
参数说明:
-t TAG Log using the specified tag (defaults to user name)
-p PRIO Priority (numeric or facility.level pair)
红色 PRI
黄色 版本号
绿色 时间戳(注意必须是rfc3339时间标准,rsyslog可以使用%TIMESTAMP:::date-rfc3339%)
蓝色 主机名
紫色 应用名(简单通过logger来模拟一个应用名进行测试)
棕色 进程ID,消息ID和结构化数据(没有在实际进程中调用syslog接口发送,因此进程号字段缺省为空,用-填充,其他几个字段也一样。logger默认调用syslog接口发送,因为syslog使用的是旧的协议3164,因此只填充MSG字段。)
灰色 MSG
参考资料
RFC 5424: The Syslog Protocol
Syslog协议日志格式翻译 - zhangjpn - 博客园
解析Syslog标准格式数据
syslog协议解析源码实现及Wireshark抓包分析_chen1415886044的博客-CSDN博客_syslog报文解析
