本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ，第1.2.3节，（美）　Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips　著 姚　军　简于涵　刘　晖　等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.2.3　什么是日志消息

正如我们之前讨论过的，日志消息是由某些设备或者系统生成，用来表明发生某些事情的消息。但是日志消息是什么样子的呢？让我们来简短地看一下这个问题的答案。本书将会非常详细地介绍这个内容。

理解这个问题的答案，是本书剩下部分的基础。首先，典型的日志消息的基本内容如下：

• 时间戳
• 源
• 数据

不论消息是通过syslog发送、写入Windows事件日志或者是存入数据库，上述基本项目总会是消息的一部分。时间戳指示了生成日志消息的时间，源是生成日志消息的系统，它通常是以IP地址或者主机名的形式表示。最后，数据是日志消息的核心内容。遗憾的是，日志消息中的数据并没有一个标准的格式。你会在一条日志消息中发现一些比较常见的数据项，包括源和目标IP地址、源和目标端口、用户名、程序名、资源对象（如文件、目录等）、传入或者传出的字节，等等。

就像我们之前提到的，具体的日志消息表现形式取决于它的来源如何实现日志数据系统，syslog是在设备和计算机系统中使用的最常见的格式。因此，让我们来看一条syslog消息的例子。图1.1给出了一个例子让我们思考。

图1.1中的示例是运行syslog服务器的日志主机接收到的由Cisco路由器生成的syslog消息。注意，日志消息上面的数字1、2、3并不是日志消息的一部分，而是本次讨论中的参考点。参考点1是日志主机接收到日志消息的时间戳。时间戳包括收到时的月、日、时、分、秒。参考点2是Cisco路由器的IP地址，注意，IP地址后有一个冒号。下面我们继续看参考点3。在IP地址和冒号后面的都是日志消息数据，格式很随意，包含了丰富的信息。例如，日志消息的优先级是它所传达的主要信息之一。这是供应商对日志消息优先级（有时候称为严重性）的解读。在图1.1中，优先级嵌入在这段字符串中：“%LINEPROTO-5-UPDOWN”，数字5表示它的严重性。但是5代表什么意思呢？在这种情况下，您就需要查询供应商的文档，了解日志消息的格式和消息数据中可能传递的任何相关含义。还应当指出的是，在syslog协议中有着优先级的方案。这个概念会在第2章进行论述。

现在要注意，路由器的消息数据包含一个时间戳，跟参考点1中的不一样。这个时间戳是由路由器生成的，它表明了事件发生的大概日期和时间。syslog服务器的系统时间和路由器的时间都有可能是错误的。无论如何，时间的同步是很重要的，你应该知道系统时钟是否停止、偏差等等，时钟偏差至少可能导致日志数据的一致性问题，在分析任何问题的时候都不妨做这样的质疑。你也许会感到疑惑，我们怎么面对日志消息有着自由格式这个现实？下一个小节我们将要讨论日志系统的概念，并简要探讨一些其他的主题。