5.日志系统与系统日志.pdfVIP

CentOS 丛书目录 — 系统管理 — 网络服务 — 应用部署 日志系统和系统日志 内容提要 1. 理解syslog系统 2. 熟悉syslogd的配置文件及其语法 3. 学会查看系统日志 4. 理解日志滚动的必要性及实现方法 日志系统 什么是 syslog 日志的主要用途是系统审计、监测追踪和分析统计。 为了保证 Linux 系统正常运行、准确解决遇到的各种各样的系统问题，认真地读取日志文件是管理员的一项非 常重要的任务。 Linux 内核由很多子系统组成，包括网络、文件访问、内存管理等。子系统需要给用户传送一些消息，这些消 息内容包括消息的来源及其重要性等。所有的子系统都要把消息送到一个可以维护的公用消息区，于是，就有 了 syslog。 syslog 是一个综合的日志记录系统。它的主要功能是：方便日志管理和分类存放日志。 syslog 使程序设计者 从繁重的、机械的编写日志文件代码的工作中解脱出来，使管理员更好地控制日志的记录过程。在 syslog 出 现之前，每个程序都使用自己的日志记录策略。管理员对保存什么信息或是信息存放在哪里没有控制权。 syslog 能设置成根据输出信息的程序或重要程度将信息排序到不同的文件。例如，由于核心信息更重要且需要 有规律地阅读以确定问题出在哪里，所以要把核心信息与其他信息分开来，单独定向到一个分离的文件中。 管理员可以通过编辑 /etc/syslog.conf 来配置它们的行为。 syslogd 的配置文件 syslogd 的配置文件 /etc/syslog.conf 规定了系统中需要监视的事件和相应的日志的保存位置。使用如下命 令： cat /etc/syslog.conf 可以查看此文件的内容为： # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # 将 info 或更高级别的消息送到 /var/log/messages， # 除了 mail/news/authpriv/cron 以外。 # * none 其中 是通配符，代表任何设备； 表示不对任何级别的信息进行记录。 *.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages # 将 authpirv 设备的任何级别的信息记录到 /var/log/secure 文件中， # 这主要是一些和认证、权限使用相关的信息。 authpriv.* /var/log/secure # 将 mail 设备中的任何级别的信息记录到 /var/log/maillog 文件中， # 这主要是和电子邮件相关的信息。 mail.* -/var/log/maillog # 将 cron 设备中的任何级别的信息记录到 /var/log/cron 文件中， # 这主要是和系统中定期执行的任务相关的信息。 cron.* /var/log/cron # 将任何设备的 emerg 级别或更高级别的消息发送给所有正在系统上的用户。 *.emerg * # 将 uucp 和 news 设备的 crit 级别或更高级别的消息记录到 /var/log/spooler 文件中。 uucp,news.crit /var/log/spooler # 将和本地系统启动相关的信息记录到 /var/log/boot.log 文件中。 local7.* /var/log/boot.log # 将 news 设备的 crit 级别的消息记录到 /var/log/news/news.crit 文件中。 news.=crit