syslog日志介绍

一. syslog简介

        syslog是一种工业标准的协议,可用来记录设备的日志。在UNIX系统,路由器、交换机等网络设备中,系统日志(System Log)记录系统中任何时间发生的大小事件。管理者可以通过查看系统记录,随时掌握系统状况。UNIX的系统日志是通过syslogd这个进程记录系统有关事件记录,也可以记录应用程序运作事件。通过适当的配置,我们还可以实现运行syslog协议的机器间通信,通过分析这些网络行为日志,藉以追踪掌握与设备和网络有关的状况。

syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序,守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。

几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(UDP)方式传送到远端服务器,远端接收日志服务器必须通过syslogd监听UDP 端口514,并根据 syslog.conf配置文件中的配置处理本机,接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。意味着可以让任何事件都登录到一台或多台服务器上,以备后台数据库用off-line(离线) 方法分析远端设备的事件。

日志滚动(日志切割):

                所谓的滚动是指历史信息所保存的日志,如;messages文件日志会越来越大等到了某一段时间,会把messages文件重新命名为messages.1,系统并重新创建messages文件,所以叫做日志滚动

image

syslog配置文件/etc/rsyslog.conf

注:centos 6 的配置文件是/etc/rsyslog.conf,centos5的配置文件是/etc/syslog.conf

5.配置文件定义格式为facility.priority  action

            facility是指哪个facility来源产生的日志;   priority是指拿个级别的日志 ;action是指产生日志怎么办是保存在文件中还是其他。。。

           facility可以理解为日志的来源或设备或选择条件,目前常用的facility有以下几种:

               auth                      #认证相关的

               authpriv                #权限,授权相关的

               cron                      #任务计划相关的

               daemon                #守护进程相关的

               kern                       #内核相关的

               lpr                          #打印相关的

               mail                        #邮件相关的

               mark                       #标记相关的

               news                       #新闻相关的

               security                   #安全相关的,与auth类似

               syslog                      #syslog自己的

               user                         #用户相关的

               uucp                        #unix to unix cp相关的

               local0到local7          #用户自定义使用

               *                                #*表示所有的facility

priority(log level)日志优先级的级别,一般分为以下几种级别(从低到高)

             注:级别越低记录的越详细

                debug                    #程序或系统的调试信息

                info                         #一般信息

                notice                     #不影响正常的功能,需要提醒用户的重要事件

                warning/warn         #可能影响系统功能,需要提醒用户的重要事件

                err/error                  #错误信息

                crit                           #比较严重的

                alert                         #必须马上处理的

                emerg/canic            #会导致系统不可用的

                *                               #表示所有的日志级别

                none                        #跟*相反,表示什么也没有

action(动作)日志记录的位置

                系统上的绝对路径      #普通文件 如:/var/log/XXX

                |                                #管道 通过管道送给其他的命令出来

                终端                          #终端 如:/dev/console

                @host                      #远程主机  如@10.1.1.1

                用户                          #系统用户 如:root

                *                               #登录到系统上的所有用户,一般emerg级别的日志是这样定义的

定义格式列子:

                mail.info  /var/log/mail.log   #表示将mail相关的,级别为info及info以上级别的信息记录到/var/log/mail.log文件中 

                auth.=info  @10.1.1.1            #表示将auth相关的,级别为info的信息记录到10.1.1.1主机上去,前提是10.1.1.1要能接收其主机发来的日志信息

                user.!=error                            #表示记录user相关的,不包括error级别的信息

                 user.!error                           #表示user.error相反

                *.info                                      #表示记录所有的日志信息的info级别

                mail.*                                      #表示记录所有mail相关的所有级别的信息

                *.*                                           #表示记录所有的日志信息的所有的日志级别

                cron.info;mail.info                  #多个日志来源可以用“ ; ”隔开

                cron,mail.info                         #与cron.info;mail.info        是一个意思

                mail.*;mail.!=info                    #表示记录mail相关的所有级别的信息,但是不包括info级别的信息

重启服务

#service rsyslog reload    注:不重启但能读到配置文件;不建议重启

转载此处

0