본문 바로가기
Etc

Syslog Priority와 Facility

by 올엠 2020. 10. 22.
728x90
반응형

Syslog Priority와 Facility

오늘은 Syslog의 Priority와 Facility에 대해서 논의해보도록 하겠습니다.

Syslog는 시스템, 장비등에서 사용하는 이벤트를 네트워크로 전송하는 규칙과 같습니다.

https://tools.ietf.org/html/rfc5424

Priority와 Facility는 Syslog에서 중요한 구분자 역활을 하게 됩니다.

 

Priority

Priority는 로그의 수준을 의미합니다. 로그에 등급으로 구분한다고 할 수 있습니다.

Syslog에는 emergencies(0)부터 Debugging(7) 까지 등급이 있으며, 아래와 같이 구분이 가능합니다.

  • 0 – Emergency
  • 1 – Alert
  • 2 – Critical 
  • 3 – Error
  • 4 – Warning
  • 5 – Notice
  • 6 – Info
  • 7 – Debug

각 등급별로 의미는 어렵지 않게 유추가 가능할 것으로 판단됩니다.

3, Error 이상부터 문제가 발생한 이벤트 입니다.

만약 6과 7 등급으로 Syslog를 전송하게 된다면 전달되는 이벤트가 많아서 문제가 발생할 수 있습니다.

 

Facility

약간은 생소한 언어로 사전으로 확인해보면, 다음과 같은 의미를 가지고 있습니다.

시설, 기능 등 특정 영역을 의미하는 것으로 확인됩니다.

네이버 사전에서의 Facility

Facility를 통해서 이벤트가 발생한 유형(기능)을 확인할 수 있습니다.

Linux의 경우 24개로 Facility를 나누어 알람을 보내줍니다.

아래 링크를 보면 나누어진 24개의 Facility를 확인할 수 있습니다.

Cisco와 같은 네트워크 장비는 Linux에서 정의한 15번이후 16~23으로 이루어진 Local0라는 기능으로 구분해서 사용되는 경우가 많습니다.

Syslog level format [default priority]

 

Syslog format을 이해할때 가장 많이 봐야하는 부분이 바로 이 Level 부분으로 아래 노란색으로 표신한 부분으로 표현이 됩니다.

Syslog Format

Syslog의 표현되는 방식은 아래 와 같고, 여기에 Priority와 Facility는 각 값에 맞는 Priority로 들어가게 됩니다.

<priority>VERSION ISOTIMESTAMP HOSTNAME APPLICATION PID MESSAGEID STRUCTURED-DATA MSG


아래 예제와 같이 23인 경우 mail에 Debug 메세지라는 것을 알 수 있습니다. 그외는  STRUCTURED-DATA까지 공백을 통해서 구분되며, 그이후 메세지는 MSG로 인식합니다.

<23>1 2019-10-11T22:10:12.003Z asecurity.dev su - ID33 - allmnet send eamil

 

반응형

댓글0