Linux日志怎么創(chuàng)建？(2)

　　Syslog 格式和字段

　　每條 syslog 信息包含一個(gè)帶有字段的信息頭，這些字段是結(jié)構(gòu)化的數(shù)據(jù)，使得分析和路由事件更加容易。下面是我們使用的用來產(chǎn)生上面的 syslog 例子的格式，你可以將每個(gè)值匹配到一個(gè)特定的字段的名稱上。

　　1.《%pri%》%protocol-version% %timestamp：：：date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% %msg%n

　　下面，你將看到一些在查找或排錯(cuò)時(shí)最常使用的 syslog 字段：

　　時(shí)間戳

　　時(shí)間戳 （上面的例子為 2003-10-11T22:14:15.003Z） 暗示了在系統(tǒng)中發(fā)送該信息的時(shí)間和日期。這個(gè)時(shí)間在另一系統(tǒng)上接收該信息時(shí)可能會(huì)有所不同。上面例子中的時(shí)間戳可以分解為：

　　1、2003-10-11 年，月，日。

　　2、T 為時(shí)間戳的必需元素，它將日期和時(shí)間分隔開。

　　3、22:14:15.003 是 24 小時(shí)制的時(shí)間，包括進(jìn)入下一秒的毫秒數(shù)（003）。

　　4、Z 是一個(gè)可選元素，指的是 UTC 時(shí)間，除了 Z，這個(gè)例子還可以包括一個(gè)偏移量，例如 -08:00，這意味著時(shí)間從 UTC 偏移 8 小時(shí)，即 PST 時(shí)間。

　　主機(jī)名

　　主機(jī)名 字段（在上面的例子中對(duì)應(yīng) server1.com） 指的是主機(jī)的名稱或發(fā)送信息的系統(tǒng)。

　　應(yīng)用名

　　應(yīng)用名 字段（在上面的例子中對(duì)應(yīng) sshd:auth） 指的是發(fā)送信息的程序的名稱。

　　優(yōu)先級(jí)

　　優(yōu)先級(jí)字段或縮寫為 pri （在上面的例子中對(duì)應(yīng) ） 告訴我們這個(gè)事件有多緊急或多嚴(yán)峻。它由兩個(gè)數(shù)字字段組成：設(shè)備字段和緊急性字段。緊急性字段從代表 debug 類事件的數(shù)字 7 一直到代表緊急事件的數(shù)字 0 。設(shè)備字段描述了哪個(gè)進(jìn)程創(chuàng)建了該事件。它從代表內(nèi)核信息的數(shù)字 0 到代表本地應(yīng)用使用的 23 。

　　Pri 有兩種輸出方式。第一種是以一個(gè)單獨(dú)的數(shù)字表示，可以這樣計(jì)算：先用設(shè)備字段的值乘以 8，再加上緊急性字段的值：（設(shè)備字段）（8） + （緊急性字段）。第二種是 pri 文本，將以“設(shè)備字段。緊急性字段” 的字符串格式輸出。后一種格式更方便閱讀和搜索，但占據(jù)更多的存儲(chǔ)空間。

　　以上就是Linux日志創(chuàng)建過程的介紹了，學(xué)會(huì)了創(chuàng)建Linux日志的過程，就能更好地掌握Linux日志查看和Linux日志分析。