syslog日志服务器配置步骤.docVIP

syslog日志服务器配置步骤 一．作用 Linux 系统的日志主要分为两种类型 : 1. 进程所属日志： 由用户进程或其他系统服务进程自行生成的日志，比如服务器上的 access_log 与 error_log 日志文件。 2. syslog 消息： 系统syslog 记录的日志，任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。Ssyslog是Linux的日志子系统日志文件详细地记录了系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是：审核和监测。Linux系统所有的日志文件都在/var/log下，且必须有 root 权限才能察看。日志文件其实是纯文本的文件，每一行表示一个消息,而且都由四个域的固定格式组成: 1. 时间标签 (timestamp )，表示消息发出的日期和时间。 2. 主机名( hostname )，表示生成消息的计算 机的名字。如果只有一台计算机，主机名就可能没有必要了。但是如果在网络环境中使用 syslog，那么就可能要把不同主机的消息发送到一台服务器上集中处理。 3. 生成消息的子系统的名字。可以是”kernel”，表示消息来自内核；或者是进程的名字，表示发出消息的程序的名字。在方括号里的是进程的PID。 4. 消息( message )，剩下的部分就是消息的内容。 auth －由 pam_pwdb 报告的认证活动。authpriv －包括特权信息如用户名在内的认证活动cron －与 cron 和 at 有关的计划任务信息。daemon －与 inetd 守护进程有关的后台进程信息。kern －内核信息，首先通过 klogd 传递。lpr －与打印服务有关的信息。mail －与电子邮件有关的信息mark － syslog内部功能用于生成时间戳news －来自新闻服务器的信息syslog －由 syslog 生成的信息user －由用户程序生成的信息uucp －由 uucp 生成的信息local0-local7 －与自定义程序使用* 通配符代表除了 mark 以外的所有功能除mark为内部使用外，还有security为一个旧的key定义，等同于auth，已经不再建议使用。 不同的服务类型有不同的优先级，数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符，对应于这个优先级的消息以及所有更紧急的消息类型都将包括在内。比如说，如果某个选择条件里的优先级是“warning”，它实际上将把“warning”、“err”、“crit”、“alert”和“emerg”都包括在内。 level级别level定义消息的紧急程度。按严重程度由高到低顺序排列为：emerg －该系统不可用，等同panicalert －需要立即被修改的条件crit －阻止某些工具或子系统功能实现的错误条件err －阻止工具或某些子系统部分功能实现的错误条件，等同errorwarning －预警信息，等同warnnotice －具有重要性的普通条件info －提供信息的消息debug －不包含函数条件或问题的其他信息none －没有重要级，通常用于排错 vim /etc/sysconfig/syslog　　 SYSLOGD_OPTIONS=-r -x -m 240（空格一定要有） 要设置只接受某个域名发送过来的日志，就在这个变量中多加一个参数。SYSLOGD_=-r -s 如果要指定多个域名，每个域名之间用冒号分隔：SYSLOGD_OPTIONS=-r -s : 　　2.重新启动syslog守护进程。修改只有在syslog守护进程重新启动后才会生效。如果你只想重新启动syslog守护进程而不是整个系统，在RedHat机器上，执行以下两条命令之一： 　　/etc/rc.d/init.d/syslog stop;/etc/rc.d/init.d/syslog start /etc/rc.d/init.d/syslog restart 3.如果这台机器上运行着iptables防火墙或TCPWrappers，请确保它们允许514号端口上的连接通过。syslog守护进程要用到514号端口。 四．客户端机器配置 　　让客户机把日志消息发往一个中央日志服务器并不困难。编辑客户机上的/etc/syslog.conf文件，在有关配置行的操作动作部分用一个“@”字符指向中央日志服务器，如下所示： 　　authpriv.*@0 　　另一种办法是在DNS里定义一个名为“loghost”的机器，然后对客户机的syslog配置文件做如下修改（