gpt4 book ai didi

syslog - 与系统日志消息格式混淆

转载 作者:行者123 更新时间:2023-12-03 14:08:11 27 4
gpt4 key购买 nike

我对syslog消息格式有些困惑。我必须编写一个解析syslog消息的程序。当我阅读syslog-ng实例中的内容时,会收到类似以下的消息:

Jan 12 06:30:00 1.2.3.4 apache_server: 1.2.3.4 - - [12/Jan/2011:06:29:59 +0100] "GET /foo/bar.html HTTP/1.1" 301 96 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 ( .NET CLR 3.5.30729)" PID 18904 Time Taken 0

我可以清楚地确定真实消息(在本例中为Apache访问日志消息),其余是有关syslog消息本身的元数据。

但是,当我阅读 RFC 5424时,消息示例如下所示:

没有结构化数据
 <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' failed for lonvick on /dev/pts/8

或带有结构化数据
<165>1 2003-10-11T22:14:15.003Z mymachine.example.com evntslog - ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"] BOMAn application event log entry...

所以现在我有点困惑。正确的系统日志消息格式是什么?这是规范版本的问题,其中 RFC 5424已过时 RFC 3164吗?

最佳答案

在这种情况下,问题是apache通过标准syslog(3)或通过logger进行记录。这仅支持旧的(RFC3164)syslog格式,即此处没有结构化数据。
为了使apache日志中的字段显示为RFC5424结构化数据,apache需要以这种方式格式化日志。

第一个示例是不正确的RFC3164系统日志,因为优先级值已从 header 中剥离。正确的RFC3164格式如下所示:

<34>Jan 12 06:30:00 1.2.3.4 apache_server: 1.2.3.4 - - [12/Jan/2011:06:29:59 +0100] "GET /foo/bar.html HTTP/1.1" 301 96 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 ( .NET CLR 3.5.30729)" PID 18904 Time Taken 0

传统上,rfc3164 syslog消息保存到文件中,而优先级值已删除。

另外两个采用RFC5424格式。

关于syslog - 与系统日志消息格式混淆,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9209130/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com