系统日志事件的正式分隔标记？

Question 1

那么，您所说的“系统日志事件”是什么意思呢？如果您指的是系统日志消息，那么 RFC5424 在第 6 节中明确定义了系统日志消息语法，即如何将其从一个系统日志应用程序传输到另一个系统日志应用程序。

如果您指的是接收系统日志应用程序如何将它们存储在日志文件中，典型的系统日志实现只是用换行符将一条记录与另一条记录分开，这通常不是可配置的行为。此外，系统日志记录的文本字段也可以包含换行符，这会使正确解析日志文件的任务变得复杂。尽管如此，它通常可以解析，因为每个系统日志记录都以通常的日期、时间、主机和标签序列开头，而系统日志记录中的换行符通常不会跟有类似的文本。

我认为更改 syslog 存储记录分隔符的功能将是一个有用的功能，但记录本身中出现的任何此类分隔符都应被转义，以便它有用。向纯文本文件添加如此多的结构必然是一种妥协。如果您非常关心这个问题，也许您应该支持以某种定义明确的二进制格式写入日志文件（例如，sqlite 在这里可能很有用）。

编辑：仔细检查 RFC5424 第 6 节后发现，系统日志消息可以有两种形式：

HEADER SP STRUCTURED-DATA

或者

HEADER SP STRUCTURED-DATA SP MSG

通过扩展 ABNF 规范，我们很容易发现第一种形式以“-”或“]”结尾。在这个最后一个字符之前可能还有其他“-”和“]”字符，因此不能将其视为 syslog 消息终止符。

第二种形式的结尾取决于 MSG 的结尾方式。MSG 可以是 UTF-8 字符串（如 RFC 3629 中所述，不包含字符串终止符），也可以是任意以任意值结尾的八位字节流。显然，这种形式也没有指定这样的终止符号。

但事实上，无论采用何种形式，都不需要 syslog 消息终止符，因为消息长度由传输层带外传递。当应用程序发送 UDP 数据包时，syslog 消息必须已根据规范准备好并存储在缓冲区中。应用程序将此缓冲区传递给函数或方法以发送它，并且要发送的字节数也会传递。例如，在 C 中我们有：

ssize_t sendto(int sockfd, const void *buf, size_t len, int flags,
               const struct sockaddr *dest_addr, socklen_t addrlen);

在此示例中，长度是应该从缓冲区中获取的字节数缓冲区并发送到远程主机。

同样，在系统日志服务器上调用另一个函数或方法，例如这个：

ssize_t recvfrom(int sockfd, void *buf, size_t len, int flags,
                 struct sockaddr *src_addr, socklen_t *addrlen);

此函数返回缓冲区中接收的 UDP 有效负载的长度（以字节为单位）缓冲区。如果应用程序尝试读取超过此返回长度的数据，则会出现垃圾数据（或分段错误）。为了避免读取超过此限制的数据，通常会在位置处放置一个 NULL 值缓冲区[大小]就在siz=接收自(…)调用。这样，任何后续函数调用使用缓冲区作为字符串将正常工作。当然，此空终止仅适用于字符串，而不适用于八位字节流。正如我所说，此空值通常不会通过网络传输，而仅由接收应用程序添加。

对于作为接收应用程序的系统日志服务器来说，大多数系统日志服务器可能会添加这个空终止符以便在内部处理接收的字符串（如果它们将其视为字符串的话），但是在任何情况下，当将字符串附加到日志文件时，都会省略这个空值，以免破坏整个日志文件的文本处理。

Answer