在2001年定义的RFC3164中,描述了BSD syslog协议:
http://www.ietf.org/rfc/rfc3164.txt
约定发送syslog的设备为Device,转发syslog的设备为Relay,接收syslog的设备为Collector。Relay本身也可以发送自身的syslog给Collector,这个时候它表现为一个Device。Relay也可以只转发部分接收到的syslog消息,这个时候它同时表现为Relay和Collector。 syslog消息发送到Collector的UDP 514端口,不需要接收方应答,RFC3164建议 Device 也使用514作为源端口。规定syslog消息的UDP报文不能超过1024字节,并且全部由可打印的字符组成。完整的syslog消息由3部分组成,分别是PRI、HEADER和MSG。大部分syslog都包含PRI和MSG部分,而HEADER可能没有。 syslog的格式 下面是一个syslog消息:Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting. 其中“”是PRI部分,“Oct 9 22:33:20 hlfedora”是HEADER部分,“auditd[1787]: The audit daemon is exiting.”是MSG部分。 按严重程度由低到高排序:debug 不包含函数条件或问题的其他信息info 提供信息的消息none 没有重要级,通常用于排错notice 具有重要性的普通条件warning 预警信息err 阻止工具或某些子系统部分功能实现的错误条件crit 阻止某些工具或子系统功能实现的错误条件alert 需要立即被修改的条件emerg 该系统不可用
[root@GD6G6S06 logs]# service syslog restartShutting down kernel logger: [ OK ]Shutting down system logger: [ OK ]Starting system logger: [ OK ]Starting kernel logger: [ OK ]
