《日志管理與分析權威指南》一1.2.1 什麼是日志資料

本節書摘來華章計算機《日志管理與分析權威指南》一書中的第1章 ，第1.2.1節，（美）　anton a. chuvakin kevin j. schmidt christopher phillips　著 姚　軍　簡于涵　劉　晖　等譯更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。

簡單地說，日志資料的核心就是日志消息或者日志。日志消息就是計算機系統、裝置、軟體等在某種刺激下反應生成的東西。确切的刺激在很大程度上取決于日志消息的來源。例如，unix作業系統會記錄使用者登入和登出的消息，防火牆将記錄acl通過和拒絕的消息，磁盤存儲系統在故障發生或者在某些系統認為将會發生故障的情況下生成日志資訊。

日志資料（log data）就是一條日志消息的内在含義。換句話說，日志資料就是一條日志消息裡用來告訴你為什麼生成日志消息的資訊。例如，web伺服器一般會在有人通路web頁面請求資源（圖檔、檔案等等）的時候記錄日志。如果使用者通路的頁面需要通過認證，日志消息将會包含使用者名。這就是日志資料的一個例子：可以使用使用者名來判斷誰通路過一個資源。

日志（log）這個術語實際上指的是用于展示某些事件全貌的日志消息的集合。

日志消息可以分成下面的幾種通用類型：

資訊：這種類型的消息被設計成告訴使用者和管理者一些沒有風險的事情發生了。例如，cisco ios将在系統重新開機的時候生成消息。不過，一定要當心。例如，如果重新開機發生在非正常維護時間或是業務時間，就有發出警報的理由。本書後面的章節将會提供給你檢測此類現象發生的技能和技術。

調試：軟體系統在應用程式代碼運作時生成調試資訊，是為了給軟體開發人員提供故障檢測和定位問題的幫助。

警告：警告消息是在系統需要或者丢失東西，而又不影響作業系統的情況下生成的。例如，如果一個程式沒有獲得正确數量的指令行參數，但是它也能在沒有這些參數的情況下運作，這種情況下程式記錄日志可能隻是為了警告使用者或者操作人員。

錯誤：錯誤日志消息是用來傳達在計算機系統中出現的各種級别的錯誤。例如，作業系統在無法同步緩沖區到磁盤的時候會生成錯誤資訊。不幸的是，許多錯誤消息隻能給出為什麼出錯的起點，要尋找出導緻錯誤發生的根本原因還需要進一步的調查。本書的第7、8、9、10、11、12、13、15和16章将為你提供處理這些情況的方法。

警報：警報表明發生了一些有趣的事情。一般情況下，警報是屬于安全裝置和安全相關系統領域的，但這并不是硬性的規定。在計算機網絡中可能會運作一個入侵預防系統（ips），檢查所有入站的流量。它将根據資料包的内容判斷是否允許其進行網絡連接配接。如果ips檢測到了一個惡意連接配接，可能會采取任何預先配置的行動。ips會記錄下檢測結果以及所采取的行動。

接下來，我們要簡短的讨論一下日志資料是如何傳輸和收集的，然後我們會談到日志消息的組成。