syslog系统日志应用.docxVIP

syslog 系统日志应用?1) 概述??????syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序，守护进程和内核提供了访问系统的日志信息。因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。????? 几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据 syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。???? ?通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。?2) etc/syslog.conf????? /etc/syslog.conf 文件使用下面的格式：??? ? facility.level??? action???? ?facility.level为选择条件本身分为两个字段，之间用一个小数点（.）分隔。action和facility.level之间使用TAB隔开。前一字段是一项服务，后一字段是一个优先级。选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。action字段所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。???? ?要素分析：facility 指定 syslog 功能，主要包括以下这些：kern???? 内核信息，首先通过 klogd 传递；user???? 用户进程；mail???? 邮件；daemon?? 后台进程；authpriv 授权信息；syslog?? 系统日志；lpr????? 打印信息；news???? 新闻组信息；uucp???? 由uucp生成的信息cron???? 计划和任务信息。mark???? syslog 内部功能用于生成时间戳local0----local7?? 与自定义程序使用，例如使用 local5 做为 ssh 功能*??????? 通配符代表除了 mark 以外的所有功能????? level 指定syslog优先级：????? syslog 级别如下:（按严重程度由高到低的顺序列出了所有可能的优先级。）emerg 或 panic?? 该系统不可用（最紧急消息）alert??????????? 需要立即被修改的条件（紧急消息）crit???????????? 阻止某些工具或子系统功能实现的错误条件（重要消息）err????????????? 阻止工具或某些子系统部分功能实现的错误条件（出错消息）warning????????? 预警信息（警告消息）notice?????????? 具有重要性的普通条件（普通但重要的消息）info???????????? 提供信息的消息（通知性消息）debug??????????? 不包含函数条件或问题的其他信息（调试级-信息量最多）none???????????? 没有重要级，通常用于排错（不记录任何日志消息）*??????????????? 所有级别，除了noneaction:1. /var/log/lastlog : 记录每个使用者最近签入系统的时间, 因此当使用者签入时, 就会显示其上次签入的时间, 您应该注意一下这个时间, 若不是您上次签入的时间, 表示您的帐号可能被人盗用了. 此档可用 /usr/bin/lastlog 指令读取.2. /var/run/utmp : 记录每个使用者签入系统的时间, who, users, finger 等指令会查这个档案.3. /var/log/wtmp : 记录每个使用者签入及签出的时间, last 这个指令会查这个档案. 这个档案也记录 shutdown 及 reboot 的动作.4. /var/log/secure : 登录系统的信息5. /var/log/maillog : 记录 sendmail 及 pop 等相关讯息.6. /var/log/cron : 记录 crontab 的相关讯息，定时器的信息7. /var/log/dmesg : /bin/dmesg 会将这个档案显示出来, 它是开机时的画面讯息.8. /var/log/xferlog : 记录那些位址来 ftp 拿取那