收集并监控 Syslog 消息

Syslog 消息是一种采用网络设备用于通信的 System Logging Protocol (Syslog) 标准格式的消息。网络设备如路由器、交换机、防火墙和服务器等，采用 Syslog 消息发送其状态或重要事件信息，所以它们对网络故障排除来说极为重要。

利用 Syslog 消息进行网络监控和故障排除的关键是要有一个好的 Syslog 服务器。一台 Syslog 服务器可以集中您支持 Syslog 功能的设备的 Syslog 消息，并使您能够访问、搜索或过滤这些消息（通常更多）。为此，需要配置支持 Syslog 功能的设备，将 Syslog 消息发送给 Syslog 服务器。

Syslog 消息通常用于采用 Linux 和 Unix 操作系统的网络设备。默认情况下，Syslog 消息通过 UDP (User Datagram Protocol) 发送，UDP 是一个无连接的协议，所以不能保证消息成功送达。但是，部分设备还可以使用面向连接的协议 TCP (Transmission Control Protocol)，用于确保消息送达。

Syslog 消息有三个主要部分：

标题（识别信息） SD（结构化数据） MSG（实际消息）

标题：Syslog 消息的标题包括识别信息，例如版本、时间戳、主机名、设备的 IP 地址、过程 ID 和消息优先级 (PRI)。Syslog 消息优先级是一个计算值，有助于对 Syslog 消息进行分类，确定消息的整体重要性，并在需要时分配适当的反应。

结构化数据：Syslog 消息的这个部分旨在提供定义明确且易于解析的数据格式。由于消息本身是自由文本格式，因此从中提取相关信息是一种挑战。结构化数据提供了一种方法，以更友好的格式提供关于 Syslog 消息的其他有价值的信息（例如流量计数器或 IP 地址），以便进一步进行数据处理。

消息：Syslog 消息的这个部分包括自由文本格式的实际消息，提供事件信息。通常，用 UTF-8 编码的 UNICODE 字符集用于 Syslog 消息。

PRI：Syslog 消息的优先级由两个变量的组合计算得出：设备和严重性。

设备代码指定生成消息的系统的类型。根据 15 个预定义值及 8 个可在本地定义的值，其数值介于 0 和 23 之间。

严重性：该变量表明消息自身的重要性，其数值介于 0 和 7 之间（从紧急消息到调试级别消息）。

Syslog 消息的优先级的计算方式如下：

优先级 = 设备 * 8 + 严重性

例如，紧急内核消息的优先级值为 0。优先级值越低，消息的重要性越高。

出色的 Syslog 服务器使您能够识别优先级高的消息并对情况作出充分反应，无论这意味着向网络管理员发送电子邮件通知还是运行外部脚本。

Syslog 消息分为八个严重性级别。根据 Syslog 协议 RFC 5424，对于每个严重性级别的说明如下：

您不太可能会收到紧急消息，因为紧急消息通常意味着系统宕机且不能发送任何消息。另一方面，调试消息常在开发过程中使用，通常不会影响您的网络操作，因此您大概会收到关于此类消息的通知。

除了优先级别，出色的 Syslog 服务器还应该允许您设置规则，以根据其严重性级别对 Syslog 消息作出反应。

网络和系统管理员通常使用 Syslog 消息对网络设备的潜在问题进行早期检测和故障排除。Syslog 消息提供关于网络设备状态和能对网络标准操作产生负面影响的重要事件的基本信息。Syslog 消息和 SNMP 陷阱都是网络设备（例如，路由器、交换机、防火墙和服务器）通信的基本方式。在典型网络中，每分钟会生成成千上万个 Syslog 消息和 SNMP 陷阱，因此如果没有集中式解决方案，就无法将它们用于网络监控。这两种类型的消息都能被 Syslog Server 收集，该服务器会充当网络设备生成的所有日志的集中位置。Syslog Server 提供了访问、搜索和筛选日志的捷径，它是日志管理的关键部分。