5.1 示例及说明
系统日志的programname包含:@systemLog
完整报文示例如下:
<142>Aug 14 10:52:19 localhost sdp-passport@systemLog[128]: sess: 822728bc-99f6-466c-81ed-bd7a9cfd9a8c_0793f2c8-062e-4e2, user: user@local, auth: auth/psw is success, code: 0, msg: 密码认证成功 |AUTHZ|url=/passport/v1/auth/psw?clientType=SDPBrowserClient&platform=Windows&lang=zh-CN, username=user, sessid=822728bc-99f6-466c-81ed-bd7a9cfd9a8c_aab2b86d-f161-472, sTraceId=810908a5-d2c9-437a-aadf-0b9, traceid=ad985062, ip=1.1.1.1#end#
其中正文为:
sess: 822728bc-99f6-466c-81ed-bd7a9cfd9a8c_0793f2c8-062e-4e2, user: user@local, auth: auth/psw is success, code: 0, msg: 密码认证成功 |AUTHZ|url=/passport/v1/auth/psw?clientType=SDPBrowserClient&platform=Windows&lang=zh-CN, username=user, sessid=822728bc-99f6-466c-81ed-bd7a9cfd9a8c_aab2b86d-f161-472, sTraceId=810908a5-d2c9-437a-aadf-0b9, traceid=ad985062, ip=1.1.1.1#end#
日志格式说明(基于RFC3164):
┌PRI─┐┌───────── HEADER ───────┐┌─────────────────────────────────── MSG ──────────────────────────────────────────────┐
│ ││ ││ │
|<142>Aug 14 10:52:19 localhost sdp-passport@systemLog[128]: sess: 822728bc-9......, traceid=ad985062, ip=1.1.1.1#end# |
│ │└───────┬─────┘ └───┬───┘ └───────────┬─────────────┘ └───────────────────────┬─────────────────────────────────┘│
│ ││ Timestamp Hostname │| Tag Content │
│ ││ ││ │
└────┘└────────────────────────┘└──────────────────────────────────────────────────────────────────────────────────────┘
字段解释:
| 组件区块 | 字段名称 | 示例值/格式 | 解释说明 |
|---|---|---|---|
| PRI (优先级) | Priority Value | <142> | 综合了 Facility (设施) 和 Severity (严重等级) 的数值。142 的计算方式:Facility值 × 8 + Severity值。 |
| Facility (设施) | 17 | 计算:142 ÷ 8 = 17(取整数部分)。设施代码17对应 local1,通常预留给本地系统使用。取值范围见附录二 | |
| Severity (严重等级) | 6 (Informational) | 计算:142 % 8 = 6(取余数部分)。严重等级6表示这是一条信息性(Informational)消息,属于正常操作记录。取值范围见附录二 | |
| HEADER (头部) | Timestamp (时间戳) | Aug 14 10:52:19 | 事件发生的时间戳,格式为 Mmm dd hh:mm:ss。这里是8月14日上午10点52分19秒。注意此格式不包含年份。 |
| Hostname (主机名) | localhost | 生成此日志消息的设备的主机名。 | |
| MSG (消息) | Tag (标签) | sdp-passport@systemLog[128] | 标识生成消息的应用程序或进程。sdp-passport@systemLog[128] 表示输出系统日志的服务为sdp-passport,pid为128。核心进程列表见附录一 |
| Content (正文) | sess: ... ip=1.1.1.1#end# | 消息的具体内容,描述了发生的事件。 | |
| traceid (正文字段) | traceid=ad985062 | 请求链路跟踪ID,通过此ID可以串联起整个调用链的所有相关日志,便于问题排查和性能分析 |
附录一:aTrust核心进程列表
| 进程名 | 对应业务 |
|---|---|
| sdp-console | 控制台业务 |
| sdp-passport | 用户认证业务 |
| sdp-controller | 应用访问等在线用户业务 |
| sdp-crontab | 定时任务 |
| sdp-cloud-opr | 全网运维相关业务 |
| sdp-clusterd | 集群相关业务 |
| sdp-data-gatherer | 数据采集业务 |
| uem-console | uem控制台相关业务 |
| uem-controller | uem沙箱相关业务 |
| sdp-promoted | 后台权限服务 |
| sdp-cfg-blder | 动态配置生成业务 |
| sdp-push-agent | uem消息推送业务 |
| sdp-lic-confd | 授权相关业务 |
| sdp-pdp-service | ACL策略相关业务 |
| sdp-spbetter | 升级相关业务 |
| sdp-health-check | 健康检查业务 |
附录二:RFC-3164 对部分字段的解释(供参考)
Facility(设施)类型:
| 数值代码 | 设施类型 (英文) | 设施类型 (中文说明) | 常见来源 |
|---|---|---|---|
| 0 | kernel messages | 内核消息 | 操作系统内核 |
| 1 | user-level messages | 用户级别消息 | 用户进程 |
| 2 | mail system | 邮件系统 | 邮件传输代理 (如 Sendmail, Postfix) |
| 3 | system daemons | 系统守护进程 | 系统级后台服务 |
| 4 | security/authorization messages | 安全/授权消息 | 认证系统 (如 login, sudo) |
| 5 | messages generated internally by syslogd | syslogd 内部产生的消息 | syslog 守护进程本身 |
| 6 | line printer subsystem | 行式打印机子系统 | 打印服务 |
| 7 | network news subsystem | 网络新闻子系统 | 新闻组服务 (如 NNTP) |
| 8 | UUCP subsystem | UUCP 子系统 | Unix-to-Unix Copy 协议 |
| 9 | clock daemon | 时钟守护进程 | 时间服务 (如 cron, at) |
| 10 | security/authorization messages | 安全/授权消息 | |
| 11 | FTP daemon | FTP 守护进程 | FTP 服务 (如 ftpd) |
| 12 | NTP subsystem | NTP 子系统 | 网络时间协议 |
| 13 | log audit | 日志审计 | 审计守护进程 |
| 14 | log alert | 日志警报 | 警报系统 |
| 15 | clock daemon | 时钟守护进程 | |
| 16-23 | local use 0 to local use 7 (local0 - local7) | 本地用途 0 至 7 | 自定义应用程序。这是最常被第三方应用使用的设施。 |
Severity(严重等级):
| 数值代码 | 严重等级 (英文) | 严重等级 (中文说明) | 说明 |
|---|---|---|---|
| 0 | Emergency | 紧急 | 系统不可用 |
| 1 | Alert | 警报 | 需要立即采取行动 |
| 2 | Critical | 严重 | 严重情况 |
| 3 | Error | 错误 | 错误情况 |
| 4 | Warning | 警告 | 警告情况 |
| 5 | Notice | 通知 | 正常但重要的情况 |
| 6 | Informational | 信息 | informational 消息 |
| 7 | Debug | 调试 | 调试级别消息 |