본문 바로가기

Work Log/As Cybersecurity Consultant

Syslog 메세지의 우선순위(priority)

  • 모든 Syslog 메세지는 제일 앞부분에 priority값을 포함하고 있습니다. priority 값은 0부터 191까지를 그 범위로 하며, Facility값과 Level값을 가지고 계산하여 만듭니다. priority값은 "<>"구분자 안에 들어있습니다.
    • <PRI>HEADER MESSAGE
    • priority 값은 앞서 설명한 것처럼 0부터 191까지 값을 가지되 3자리를 채우기 위한 0같은 값이 들어가지는 않습니다.
    • syslog 메세지의 예
      • <133>ns5gt: NetScreen device_id=ns5gt [No Name]system-notification-00257(traffic): start_time="2007-04-04 16:45:44" duration=5 policy_id=1 service=http proto=6 src zone=Trust dst zone=Untrust action=Permit sent=815 rcvd=447 src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx src_port=2373 dst_port=80 src-xlated ip=xxx.xxx.xxx.xxx port=1080 session_id=1589
    • 보다 자세한 정보를 원하시면 RFC 3164를 참조하시길 바랍니다.
  • priority 값은 다음과 같이 계산을 하게 됩니다.
    • Priority = Facility * 8 + Level

우선순위 값을 가지고 Facility와 Level은 우선순위 값을 8로 나눠보고 나온 나머지가 Level이고 몫이 Facility가 되겠네요

 

위의 예제에서는 Priority 값이 133이니까 Facility는 16이고 Level은 5가 되겠네요.

그럼 Facility값인 16은 뭘까요? Level 5는?

다른 포스트에서 설명을 드릴께요 :)