syslog-系统日志应用.pdfVIP

syslog-系统日志应用 syslog 系统日志应用 1) 概述 syslog 是 Linux 系统默认的日志守护进程。默认的 syslog 配置文 件是/etc/syslog.conf 文件。程序，守护进程和内核提供了访问系统的日志信 息。因此，任何希望生成日志信息的程序都可以向syslog接口呼叫生成该信息 几乎所有的网络设备都可以通过 syslog 协议，将日志信息以用户数 据报协议 (UDP)方式传送到远端服务器，远端接收日志服务器必须通过 syslogd 监听 UDP端口 514，并根据 syslog.conf 配置文件中的配置处理本机，接收访问 系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之 用。意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用 off-line(离线) 方法分析远端设备的事件 通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重 要级 /etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报 告信息 2) etc/syslog.conf /etc/syslog.conf 文件使用下面的格式： facility.level action facility.level 为选择条件本身分为两个字段，之间用一个小数点 （.）分隔 action 和 facility.level 之间使用 TAB 隔开。前一字段是一项服 务，后一字段是一个优先级。选择条件其实是对消息类型的一种分类，这种分 类便于人们把不同类型的消息发送到不同的地方。在同一个 syslog 配置行上允 许出现一个以上的选择条件，但必须用分号（;）把它们分隔开 action 字段所 表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息 要素分析： facility 指定 syslog 功能，主要包括以下这些： kern 内核信息，首先通过 klogd 传递； user 用户进程； mail 邮件； daemon 后台进程； authpriv 授权信息； syslog 系统日志； lpr 打印信息； news 新闻组信息； uucp 由uucp 生成的信息 cron 计划和任务信息 mark syslog 内部功能用于生成时间戳 local0local7 与自定义程序使用，例如使用 local5 做为 ssh 功能 * 通配符代表除了 mark 以外的所有功能 level 指定 syslog 优先级： syslog 级别如下: （按严重程度由高到低的顺序列出了所有可能的 优先级。） emerg 或 panic 该系统不可用（最紧急消息） alert 需要立即被修改的条件（紧急消息） crit 阻止某些工具或子系统功能实现的错误条件 （重要消息） err 阻止工具或某些子系统部分功能实现的错误 条件（出错消息） warning 预警信息（警告消息） notice 具有重要性的普通条件（普通但重要的消息） info 提供信息的消息（通知性消息） debug 不包含函数条件或问题的其他信息（调试级-信 息量最多） none 没有重要级，通常用于排错（不记录任何日志 消息） * 所有级别，除了 none action: 1. /var/log/lastlog : 记录每个使用者最近签入系统的时间, 因此当使用者签