Linux日志系统syslog详解

发布时间:2017-03-07 编辑:小张个人博客 查看次数:2112

一台服务器的日志对系统工程师来说是至关重要的,一旦服务器出现故障或被入侵,我们需要查看日志来定位问题的关键所在,所以说对于线上跑的服务器而言日志应该合理的处理及管理.下面来介绍下linux系统的syslog日志服务器.

一.syslog详解

1,syslog简介

syslog 系统日志,记录linux系统启动及运行的过程中产生的信息,rhel5.x系统上默认自带了syslog 其配置文件是/etc/syslog.conf

syslog 默认有两个守护进程,klogd,syslogd,klogd 进程是记录系统运行的过程中内核生成的日志,而在系统启动的过程中内核初始化过程中 生成的信息记录到控制台(/dev/console)当系统启动完成之后会把此信息存放到/var/log/dmesg文件中,我可以通过cat /var/log/dmesg查看这个文件,也可以通过dmesg命令来查看syslogd 进程是记录非内核以外的信息而为什么需要两个守护进程呢?是因为内核跟其他信息需要记录的详细程度及格式的不同

我们使用ps命令可以看到syslog的两个守护进程

ps -ef | grep klogd | grep -v grep 
root      3308     1  0 Nov26 ?        00:00:00 klogd -x  
ps -ef | grep syslogd | grep -v grep  
root      3288     1  0 Nov26 ?        00:00:00 syslogd -m 0

上面通过ps命令可以看到syslog的两个守护进程,而这两个守护进程是共用一个配置文件/etc/syslog.conf,下面介绍下其配置文件

2.syslog配置文件详解

配置文件定义格式为 facility.priority   action 

 facility,可以理解为日志的来源或设备目前常用的facility有以下及中 

 1,auth      # 认证相关的 
    2,authpriv  # 权限,授权相关的 
    3,cron      # 任务计划相关的 
    4,daemon    # 守护进程相关的 
    5,kern      # 内核相关的 
    6,lpr       # 打印相关的 
    7,mail      # 邮件相关的 
    8,mark      # 标记相关的 
    9,news      # 新闻相关的 
    10,security # 安全相关的,与auth 类似  
    11,syslog   # syslog自己的 
    12,user     # 用户相关的 
    13,uucp     # unix to unix cp 相关的 
    14,local0 到 local7 # 用户自定义使用 
    15,*        # *表示所有的facility 
    等.....

 priority(log level)日志的级别,一般有以下几种级别(从低到高) 

 debug           # 程序或系统的调试信息 
 info            # 一般信息, 
 notice          # 不影响正常功能,需要注意的消息 
 warning/warn    # 可能影响系统功能,需要提醒用户的重要事件 
 err/error       # 错误信息 
 crit            # 比较严重的 
 alert           # 必须马上处理的 
 emerg/oanic     # 会导致系统不可用的 
  *               # 表示所有的日志级别 
 none            # 跟* 相反,表示啥也没有

    

 action(动作)日志记录的位置 

 系统上的绝对路径    # 普通文件 如: /var/log/xxx 
    |                   # 管道  通过管道送给其他的命令处理 
    终端              # 终端   如:/dev/console 
    @HOST               # 远程主机 如: @10.0.0.1      
    用户              # 系统用户 如: root 
    *                   # 登录到系统上的所有用户,一般emerg级别的日志是这样定义的

定义格式例子: 

mail.info   /var/log/mail.log # 表示将mail相关的,级别为info及 
                              # info以上级别的信息记录到/var/log/mail.log文件中 
auth.=info  @10.0.0.1         # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去 
                              # 前提是10.0.0.1要能接收其他主机发来的日志信息 
user.!=error                  # 表示记录user相关的,不包括error级别的信息 
user.!error                   # 与user.error相反 
*.info                        # 表示记录所有的日志信息的info级别 
mail.*                        # 表示记录mail相关的所有级别的信息 
*.*                           # 你懂的. 
cron.info;mail.info           # 多个日志来源可以用";" 隔开 
cron,mail.info                # 与cron.info;mail.info 是一个意思 
mail.*;mail.!=info            # 表示记录mail相关的所有级别的信息,但是不包括info级别的

接下来去翻译下rhel5.x系统上自带的syslog的配置文件/etc/syslog.conf 

# 表示将所有facility的info级别,但不包括mail,authpriv,cron相关的信息,记录到 /var/log/messages文件 

*.info;mail.none;authpriv.none;cron.none /var/log/messages 

# 表示将权限,授权相关的所有基本的信息,记录到/var/log/secure文件中.这个文件的权限是600 

authpriv.*   /var/log/secure 

# 表示将mail相关的所有基本的信息记录到/var/log/maillog文件中,可以看到路径前面有一个"-" 

# "-" 表示异步写入磁盘, 

mail.*       -/var/log/maillog 

# 表示将任务计划相关的所有级别的信息记录到/var/log/cron文件中 

cron.*     /var/log/cron 

# 表示将所有facility的emerg级别的信息,发送给登录到系统上的所有用户 

*.emerg    * 

# 表示将uucp及news的crit级别的信息记录到/var/log/spooler文件中 

uucp,news.crit  /var/log/spooler 

# 表示将local7的所有级别的信息记录到/var/log/boot.log文件中, 

# 上面说过local0 到local7这8个是用户自定义使用的,这里的local7记录的是系统启动相关的信息 

local7.*    /var/log/boot.log 

syslog默认记录的日志格式有四个字段,时间标签 主机 子系统名称 消息

可以使用tail  /var/log/messages 看下


syslog的介绍到这里基本上已经完成了。


本文出自 “小蚂蚁” 博客:http://ant595.blog.51cto.com/5074217/1080922

出处:小张个人博客

网址:http://blog.023xs.cn/

您的支持是对博主最大的鼓励,感谢您的认真阅读。欢迎转载,但请保留该声明。

顶部

Copyright © 小张个人博客 All Rights Reserved 渝ICP备15006773号-1

联系方式:[email protected] | 本站文章仅供学习和参考

渝公网安备 50024102500267号