syslogd：日志文件格式（不是配置格式）

Warner 向您指出的 RFC 3164 描述了 UDP syslog 消息的网络格式，您可以依靠这是通过网络传输的内容，但是 syslogd 在记录您的消息时可能会写入与磁盘略有不同的内容。
也就是说，您通常可以依赖类似于 RFC 中描述的系统日志条目，大致形式如下：

DATE HOSTNAME TAG: MESSAGE

日期的格式Jan 1 00:00:01
主机名通常是短主机名，但可能是完全限定的（特别是如果您正在记录来自远程主机的消息）
标签是自由格式，但按照惯例不包含:. 它通常是形式的procname[PID]，我相信后面总是跟一个字面的:
Message是自由形式的

如果您需要更好地保证日志格式的一致性，syslog-NG 值得研究——它可以让您定义字段并插入标记，以确保您可以解析结果文件。syslog-NG 还允许您包含元数据，例如消息中的设施+优先级值。不过，使用 syslog-NG 可以将“无处不在”的定义简化为“运行 syslog-NG 且配置与您的配置相似的机器”。

RFC应该回答这个问题。据我所知：是的，通常是这样。

魔鬼在@warner 链接的 RFC 中：

4.1.3 MSG 系统日志包的一部分

MSG 部分将填充 syslog 数据包的其余部分。这通常包含生成消息的进程的一些附加信息，然后是消息的文本。这部分没有结束分隔符。syslog 数据包的 MSG 部分必须包含可见（打印）字符。传统上和最常用的代码集也是 8 位字段中的 7 位 ASCII，就像 PRI 和 HEADER 部分中使用的那样。在此代码集中，唯一允许的字符是 ABNF VCHAR 值 (%d33-126) 和空格（SP 值 %d32）。但是，不需要说明 MSG 中使用的代码集，也不是预期的。可以使用其他代码集，只要在 MSG 中使用的字符是与上述类似的专有可见字符和空格。在 MSG 部分中使用的代码集的选择应该考虑到预期的接收者。包含收件人无法查看或理解的代码集中字符的消息将不会为查看它的操作员或管理员提供有价值的信息。MSG 部分有两个字段，称为 TAG 字段和 CONTENT 字段。TAG 字段中的值将是生成消息的程序或进程的名称。CONTENT 包含消息的详细信息。传统上，这是一条自由格式的消息，提供事件的一些详细信息。TAG 是 ABNF 字母数字字符串，不得超过 32 个字符。任何非字母数字字符都将终止 TAG 字段，并假定为 CONTENT 字段的起始字符。最常见的是，CONTENT 字段的第一个字符表示

这实质上是说开发人员可以将他们想要的任何内容粘贴到 CONTENT 中，因此对于消息的实际内容确实没有标准，仅针对消息的组织。我可能会说这是一个缺陷，但我还不确定。