Rsyslog 개요

Syslog 정의

Syslog는 RFC 3164에 정의된 'The BSD syslog Protocol'로 간단하게 log 정보를 전송, 수집을 정의한 표준 프로토콜입니다.

 

전송 프로토콜

Syslog은 User Datagram Protocol(UDP)를 사용하여 전송하고, 514번 Port를 사용하는 것으로 정의되어 있습니다.

UDP를 사용하기 때문에 전송에 대한 신뢰성은 담보할 수 없고 일방적으로 서버로 전송하고 끝납니다.

 

Packet Format 

Syslog Message는 PRI Part, Header, MSG로 나누어집니다.

PRI Part

Facility와 Severity로 구성됩니다.

Facility는 아래와 같이 정의되어 있습니다.

Numerical Code	Facility
0	Kernel messages
1	User-level messages
2	Mail system
3	System daemons
4	Security/authentication messages
5	Messages generated internally by syslogd
6	Line printer subsystem
7	Network news subsystem
8	UUCP subsystem
9	Clock daemon
10	Security/authentication messages
11	FTP daemon
12	NTP subsystem
13	Log audit
14	Log alert
15	Scheduling daemon
16–23	Locally used facilities

Severity 

Numerical Code	Severity
0	Emergency: system is unusable
1	Alert: action must be taken immediately
2	Critical: critical conditions
3	Error: error conditions
4	Warning: warning conditions
5	Notice: normal but significant condition
6	Informational: informational messages
7	Debug: debug-level messages

PRI 값은 Facility 값에 8을 곱하고 Severity값을 더한 값으로 구성됩니다. 

예를 들어 Facility가 20이고 Severity 5면 20 x 8 +5 = 165 가 됩니다. 

 

HEADER Part

Header는 timestamp와 hostname 혹은 IP address로 구성됩니다.

 

MSG Part

추가적인 정보를 나타내는 text message라고 보면 되는데, TAG Field와 CONTENT Field로 구분합니다.

TAG는 process name을 의미하고, Content에는 세부 mesage가 포함됩니다.

Packet Format

PRI		HEADER		MSG
FACILITY	SEVERITY	TIMESTAMP	HOSTNAME	TAG CONTENT