rsyslog服务的说明
rsyslog服务是用于将接受来的日志信息写入到指定文件里。在配置文件"/etc/rsyslog.conf"定义了支持接受哪些服务产生的日志信息并将这些日志写入到指定位置。
常见的日志文件说明:
/var/log/messages 根据配置信息,用于记录除了验证服务、定时任务、邮件服务之外的服务产生的info级别以上的日志,是问题排查的起始点。
*.info;mail.none;authpriv.none;cron.none /var/log/messages
/var/log/secure 用于记录验证服务的日志,只要输入密码的地方都会记录。比如ssh登录、su - 命令等。
rsyslog服务信息
[root@dg1 ~]# chkconfig --list|grep rsyslog
rsyslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off
[root@dg1 ~]# service rsyslog start
Starting system logger: [ OK ]
[root@dg1 ~]# service rsyslog status
rsyslogd (pid 25673) is running...
[root@dg1 ~]# ps -ef|grep rsyslog
root 25673 1 0 21:50 ? 00:00:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
root 25716 15631 0 21:51 pts/2 00:00:00 grep rsyslog
[root@dg1 ~]#
rsyslog服务的配置文件说明
/etc/rsyslog.conf
查看帮助:man rsyslog.conf
规则的格式说明
格式::
日志设备(类型).(连接符号)日志级别 日志处理方式(action)
facility.level action
日志设备(类型):
auth pam产生的日志
authpriv ssh,ftp等登录信息的验证信息
cron 定时任务cron产生的日志
kern 内核
lpr 打印服务产生的日志信息
mail 邮件服务
mark(syslog) rsyslog服务内部的信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy, unix主机之间相关的通讯
local 1~7 –自定义的日志设备
说明:
(1)*代表所有服务
(2)多个服务写法
多个服务用;隔开,每个服务后面跟日志级别
*.info;mail.none;authpriv.none;cron.none /var/log/messages
多个服务用,隔开,最后一个服务上跟日志级别
*.info;mail,authpriv,cron.none /var/log/messages
连接符号
. 表示大于等于该日志级别的信息都会记录
.= 表示等于该日志级别的信息才会记录
.! 表示除过该日志级别的信息才会记录
日志级别
debug 有调式信息的,日志信息最多
info 一般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
<<上面这三种日志级别的信息不会影响到服务的正常运行>>
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
<<上面这三种级别的信息要引起重视>>
none 对前面这个服务的日志信息rsyslog服务不会记录日志
说明:
(1)除过debug和none之外,上面这几种日志级别是有先后顺序的
(2)*代表所有服务级别
日志ACTION
1、记录到指定文件中。这个文件必须是绝对路径指定,比如
*.info;mail.none;authpriv.none;cron.none /var/log/messages
2、记录到设备中,比如,将内核产生的信息记录到console拦截的显示器上
kern.* /dev/console
再比如,将任何日志信息发送到指定终端上
*.* /dev/pts/2
3、将日志信息发送到指定用户的所在终端上
发送给root用户所在的终端上
*.* root
发送给root用户,oracle用户所在的终端上
*.* root,oracle
发送给所有在线的用户终端上
*.* *
4、将日志发送到日志服务器上
使用UDP协议,将日志发送到日志服务器的514端口上
*.* @192.168.1.1:514
使用TCP协议,将日志发送到日志服务器的10514端口上
*.* @@192.168.1.2:10514
5、将日志先写入buffer中,等到一定数量后,一次性写入指定文件中
mail.* -/var/log/maillog
配置文件修改后,记得重启生效