Syslog Priority와 Facility

Syslog Priority와 Facility

오늘은 Syslog의 Priority와 Facility에 대해서 논의해보도록 하겠습니다.

Syslog는 시스템, 장비등에서 사용하는 이벤트를 네트워크로 전송하는 규칙과 같습니다.

https://tools.ietf.org/html/rfc5424

Priority와 Facility는 Syslog에서 중요한 구분자 역활을 하게 됩니다.

 

Priority

Priority는 로그의 수준을 의미합니다. 로그에 등급으로 구분한다고 할 수 있습니다.

Syslog에는 emergencies(0)부터 Debugging(7) 까지 등급이 있으며, 아래와 같이 구분이 가능합니다.

  • 0 – Emergency
  • 1 – Alert
  • 2 – Critical 
  • 3 – Error
  • 4 – Warning
  • 5 – Notice
  • 6 – Info
  • 7 – Debug

각 등급별로 의미는 어렵지 않게 유추가 가능할 것으로 판단됩니다.

3, Error 이상부터 문제가 발생한 이벤트 입니다.

만약 6과 7 등급으로 Syslog를 전송하게 된다면 전달되는 이벤트가 많아서 문제가 발생할 수 있습니다.

 

Facility

약간은 생소한 언어로 사전으로 확인해보면, 다음과 같은 의미를 가지고 있습니다.

시설, 기능 등 특정 영역을 의미하는 것으로 확인됩니다.

Facility를 통해서 이벤트가 발생한 유형(기능)을 확인할 수 있습니다.

Linux의 경우 24개로 Facility를 나누어 알람을 보내줍니다.

아래 링크를 보면 나누어진 24개의 Facility를 확인할 수 있습니다.

Cisco와 같은 네트워크 장비는 Linux에서 정의한 15번이후 16~23으로 이루어진 Local0라는 기능으로 구분해서 사용되는 경우가 많습니다.

Syslog level format [default priority]

Syslog format을 이해할때 가장 많이 봐야하는 부분이 바로 이 Level 부분으로 아래 노란색으로 표신한 부분으로 표현이 됩니다.

 

 

Syslog의 표현되는 방식은 아래 와 같고, 여기에 Priority와 Facility는 각 값에 맞는 Priority로 들어가게 됩니다.

<priority>VERSION ISOTIMESTAMP HOSTNAME APPLICATION PID MESSAGEID STRUCTURED-DATA MSG


아래 예제와 같이 23인 경우 mail에 Debug 메세지라는 것을 알 수 있습니다. 그외는  STRUCTURED-DATA까지 공백을 통해서 구분되며, 그이후 메세지는 MSG로 인식합니다.

<23>1 2019-10-11T22:10:12.003Z asecurity.dev su - ID33 - allmnet send eamil

Facebook Comments

Leave A Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Detection ADBlockPlease, Disable or add to white list on our site.