系统日志转发服务在设备上提供两个不同的功能:
可将警报配置为向一个或多个远程系统发送系统日志消息。请参见配置警报。
设备上支持系统日志的服务会将其系统日志消息转发到远程系统。
系统日志消息是一条简短的事件消息,从设备传输到一个或多个远程系统(我们通常称为:intercontinental printf(洲际 printf))。消息包含以下元素:
设备,描述发出消息的系统组件的类型。
严重性,描述与消息关联的状况的严重程度。
时间戳,描述关联事件的时间(以 UTC 时间表示)。
主机名,描述设备的规范名称
标签,描述发出消息的系统组件的名称。有关消息格式的详细信息,请参见系统日志警报消息格式。
消息,描述事件本身。有关消息格式的详细信息,请参见系统日志警报消息格式。
系统日志接收器随大多数操作系统而提供,包括 Oracle Solaris 和 Linux。许多第三方和开源管理软件包也支持系统日志。系统日志接收器允许管理员将来自许多系统的消息聚合到单个管理系统并合并为单个日志文件集。
系统日志转发可以配置为使用 RFC 3164 描述的“经典”输出格式,或者是 RFC 5424 描述的更新的版本化输出格式。系统日志消息作为 UDP 数据报传输。因此,它们可能会被网络丢弃,或者如果发送系统内存不足或网络非常拥塞,则可能根本不发送这些消息。因此,管理员应该认为在网络中发生复杂故障的情况下,一些消息可能已缺失或已被丢弃。
系统日志属性
协议版本-要使用的系统日志协议的版本:经典版系统日志 (RFC 3164) 或更新的系统日志 (RFC 5424)。
目标-要将消息转发到的目标 IPv4、IPv6 和 FQDN 地址的列表。
要配置系统日志,请参见以下各节: