Linux编程 第七讲 Linux的日志系统1.pptVIP

第七讲 Linux的日志系统 priority 提供的运算符 Priority ：代表等于高于 priority 例如，err 相当于 err + crit + alert + emerg =priority：代表恰好等于 priority 例如，=err 就只是 err 本身 !priority：代表除了 priority 之外的 例如， !err 就是 debug + info + notice + warn + crit + alert + emerg 除此之外，facility 和 priority 可以使用 * 代表所有 *.* 就表示所有的 facility 的所有的 priority 信息 ACTION ACTION 字段则是用来定义如何处理接收到的信息 你可以指定如下几项内容 /path/filename 将信息存储到 /path/filename 文件中 注意，如果要系统日志服务把信息存储到文件，则该文件必须以 / 开头的绝对路径命名 username 将信息传送给已登录的用户 @hostname 代表将信息传送到 hostname 的系统日志服务器 * 将信息传送给所有已登录的用户 例子 cron.=alert /var/log/cron.log 将 cron 传送来的 alert 信息存储到 /var/log/cron.log 文件 cron.!emerg root 将 cron 传送来的 emerg 等级以外的信息转给 root 阅读 *.emerg * 将来自各种子系统的 emerg 等级信息传给所有已经登录的用户 *.* @logserver 将所有信息传送给 logserver 计算机中的系统日志服务器 /etc/syslog.conf /etc/syslog.conf 是以 ACTION 作为主键的 所以，整个 syslog.conf 中的每一行的 ACTION 都必须是唯一值 也就是说不能有两个相同的 ACTION 那若需对不同类型的信息，采用同一种 ACTION ，该怎么设置呢？ syslog.conf 允许使用分号连接多个信息 Kern.=err;auth.err /var/log/caution.log 把 kern 的 err 等级信息，以及 auth 的 err 以上的信息，全部存储到 /var/log/caution.log 文件中 日志文件 根据默认的 /etc/syslog.conf ，系统日志服务会在 /var/log/ 中存储所有的记录文件 日志的格式 在系统日志服务产生的记录文件中，每一行就是一条信息，每一行包含下列的字段 date time hostname app(name)[pid]:messages date：信息发生的日期 time：信息发生的时间 hostname：信息发生的主机 app：产生信息的软件 name：软件或者软件组织的名称，可以省略 pid：进程标识符，可以省略 messages：信息的内容 示例 集中式的日志服务 要如何实现呢？ 依照下列的步骤操作即可 （1）在作为日志客户端的计算机上设置适当的信息传送到日志服务器，需在 ACTION 字段中指定 @LogServer参数 LogServer 是日志服务器的计算机名称或 IP 地址 示例 *.* @192.168.0.10 （2）修改日志服务器的 /etc/sysconfig/syslog 中的 SYSLOGD_OPTIONS 参数，加入 -r 参数即可。 （3）重新启动 LogClient 和 LogServer 的系统日志服务 这样就可以实现集中式的日志服务系统了，帮助你更轻松地管理大规模的 Linux服务器环境。 * * 操作系统日志 操作系统日志（log）记录了硬件、软件和系统发生的事件，通过日志文件，可以检查错误发生的原因，实时监测系统的状态，检查分析各种攻击企图或追中攻击者的踪迹。 绝大多数的操作系统都有日志记录功能，如windows日志在“管理工具”中的“事件查看器”。 操作系统日志（续） Linux提供了强大的日志记录和管理功能，它是由两个服务进程klogd和syslog两个进程去控制日志，其中klogd负责将内核消息传送给syslog，syslog负责处理守护进程日志、用户程序日志和内核日志。 Linux的日志大体分为：系统日志、登录连接日志、进程统计日志和其他程序日志。 配置管理日志服务 一、日志服务管理 Klogd和syslogd进程的服务名均为syslog，在/etc/rc.d/init.d/syslog可看到该服务的启动Shell脚本。 1、查询、启动、停止、重启该服务命令 　[root@RHEL5 ~]#se