Syslog 格式和字段

　　每条 syslog 信息包含一个带有字段的信息头，这些字段是结构化的数据，使得分析和路由事件更加容易。下面是我们使用的用来产生上面的 syslog 例子的格式，你可以将每个值匹配到一个特定的字段的名称上。

　　1.《%pri%》%protocol-version% %timestamp：：：date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% %msg%n

　　下面，你将看到一些在查找或排错时最常使用的 syslog 字段：

　　时间戳

　　时间戳 （上面的例子为 2003-10-11T22:14:15.003Z） 暗示了在系统中发送该信息的时间和日期。这个时间在另一系统上接收该信息时可能会有所不同。上面例子中的时间戳可以分解为：

　　1、2003-10-11 年，月，日。

　　2、T 为时间戳的必需元素，它将日期和时间分隔开。

　　3、22:14:15.003 是 24 小时制的时间，包括进入下一秒的毫秒数（003）。

　　4、Z 是一个可选元素，指的是 UTC 时间，除了 Z，这个例子还可以包括一个偏移量，例如 -08:00，这意味着时间从 UTC 偏移 8 小时，即 PST 时间。

　　主机名

　　主机名 字段（在上面的例子中对应 server1.com） 指的是主机的名称或发送信息的系统。

　　应用名

　　应用名 字段（在上面的例子中对应 sshd:auth） 指的是发送信息的程序的名称。

　　优先级

　　优先级字段或缩写为 pri （在上面的例子中对应 ） 告诉我们这个事件有多紧急或多严峻。它由两个数字字段组成：设备字段和紧急性字段。紧急性字段从代表 debug 类事件的数字 7 一直到代表紧急事件的数字 0 。设备字段描述了哪个进程创建了该事件。它从代表内核信息的数字 0 到代表本地应用使用的 23 。

　　Pri 有两种输出方式。第一种是以一个单独的数字表示，可以这样计算：先用设备字段的值乘以 8，再加上紧急性字段的值：（设备字段）（8） + （紧急性字段）。第二种是 pri 文本，将以“设备字段。紧急性字段” 的字符串格式输出。后一种格式更方便阅读和搜索，但占据更多的存储空间。

　　以上就是Linux日志创建过程的介绍了，学会了创建Linux日志的过程，就能更好地掌握Linux日志查看和Linux日志分析。