Категории журналирования (facility)

RFC 3164
Сообщения syslog-а нчинаются с поля "PRI", которое содержит информацию о категории (facility) и уровне серьёзности (severity) сообщения.

    Категории событий:
  • 0 - kern (сообщения ядра)
  • 1 - user (сообщения пользовательских программ)
  • 2 - mail (почтовая система)
  • 3 - daemon (прочие демоны)
  • 4 - auth (безопасность/права доступа)
  • 5 - syslog (генерируемые самим syslog)
  • 6 - lpr (подсистема печати)
  • 7 - news (Netnews, USENET)
  • 8 - uucp (Unix-to-Unix CoPy)
  • 9 - cron (сообщения от планировщика задач)
  • 10 - authpriv (безопасность/права доступа - более подробный вывод)
  • 11 - ftp (передача файлов по FTP)
  • 12 - ntp (синхронизация времени)
  • 13 - log audit (???)
  • 14 - log alert (???)
  • 15 - clock daemon (???)
  • 16-23 - local0-local7 (зарезервированы для локального использования)
    Уровни серьёзности:
  • 0 - emerg (система неработоспособна, старое название PANIC)
  • 1 - alert (требуется немедленное вмешательство)
  • 2 - crit (критическое состояние)
  • 3 - err (ошибка, старое название ERROR)
  • 4 - warning (предупреждение, старое название WARN)
  • 5 - notice (все нормально, но важно)
  • 6 - info (информационное сообщение)
  • 7 - debug (отладочная печать)

Номер источника умножается на 8 и складывается с уровнем серьезности, получившееся число заключается в угловые скобки и образует поле PRI.

Время (местное!) записывается в формате: Feb 13 21:12:06. Если номер дня является однозначным числом, то перед ним ставится дополнительный пробел (не 0!). Заметьте отсутствие года и зоны в дате, что необходимо учесть при долговременном хранении. Для того, чтобы время в сообщении было правильным, устройство должно быть синхронизовано (например, по NTP).

Имя хоста (простое, не FQDN!) записывается так, как оно известно генератору сообщения. Если устройство имеет несколько интерфейсов с различными IP-адресами, то в качестве имени или адреса хоста может быть использовано любое из них.

Текст сообщения (MSG) обычно содержит этикетку (TAG), указывающую на программу или процесс, выдавшую это сообщение и тело сообщения (CONTENT). Этикетка может содержать латинские буквы и цифры. Начало тела сообщения определяется по первому специальному символу - обычно двоеточие или открывающая квадратная скобка. Например, Cisco IOS в качестве этикетки использует последовательный номер сообщения и двоеточие, а Unix - простое имя программы (тело сообщения начинается с номера процесса в квадратных скобках и двоеточия).