Linux日志系统_syslog服务详解

Linux日志系统_syslog服务详解

参考链接：https://blog.csdn.net/weixin_42569329/article/details/116609984

一台服务器的日志对系统工程师来说是至关重要的,一旦服务器出现故障或被入侵,我们需要查看日志来定位问题的关键所在,所以说对于线上跑的服务器而言日志应该合理的处理及管理.下面来介绍下linux系统的syslog日志服务器.

一、syslog详解

1、syslog简介

syslog 系统日志,记录linux系统启动及运行的过程中产生的信息,rhel5.x系统上默认自带了syslog 其配置文件是/etc/syslog.conf

syslog 默认有两个守护进程,klogd,syslogd,klogd 进程是记录系统运行的过程中内核生成的日志,而在系统启动的过程中内核初始化过程中 生成的信息记录到控制台(/dev/console)当系统启动完成之后会把此信息存放到/var/log/dmesg文件中,我可以通过cat /var/log/dmesg查看这个文件,也可以通过dmesg命令来查看syslogd 进程是记录非内核以外的信息而为什么需要两个守护进程呢?是因为内核跟其他信息需要记录的详细程度及格式的不同

我们使用ps命令可以看到syslog的两个守护进程ps -ef | grep klogd | grep -v grep

root      3308     1  0 Nov26 ?        00:00:00 klogd -x

ps -ef | grep syslogd | grep -v grep

root      3288     1  0 Nov26 ?        00:00:00 syslogd -m 0

上面通过ps命令可以看到syslog的两个守护进程,而这两个守护进程是共用一个配置文件/etc/syslog.conf,下面介绍下其配置文件

2、syslog配置文件详解

配置文件定义格式为 facility.priority   action

facility,可以理解为日志的来源或设备目前常用的facility有以下及中1,auth      # 认证相关的

2,authpriv  # 权限,授权相关的

3,cron      # 任务计划相关的

4,daemon    # 守护进程相关的

5,kern      # 内核相关的

6,lpr       # 打印相关的

7,mail      # 邮件相关的

8,mark      # 标记相关的

9,news      # 新闻相关的

10,security # 安全相关的,与auth 类似

11,syslog   # syslog自己的

12,user     # 用户相关的

13,uucp     # unix to unix cp 相关的

14,local0 到 local7 # 用户自定义使用

15,*        # *表示所有的facility

等.....

priority(log level)日志的级别,一般有以下几种级别(从低到高)debug           # 程序或系统的调试信息

info            # 一般信息,

notice          # 不影响正常功能,需要注意的消息

warning/warn    # 可能影响系统功能,需要提醒用户的重要事件

err/error       # 错误信息

crit            # 比较严重的

alert           # 必须马上处理的

emerg/oanic     # 会导致系统不可用的

*               # 表示所有的日志级别

none            # 跟* 相反,表示啥也没有

action(动作)日志记录的位置系统上的绝对路径    # 普通文件 如： /var/log/xxx

|                   # 管道  通过管道送给其他的命令处理

终端              # 终端   如：/dev/console

@HOST               # 远程主机 如： @10.0.0.1

用户              # 系统用户 如： root

*                   # 登录到系统上的所有用户，一般emerg级别的日志是这样定义的

定义格式例子：mail.info   /var/log/mail.log # 表示将mail相关的,级别为info及

# info以上级别的信息记录到/var/log/mail.log文件中

auth.=info  @10.0.0.1         # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去

# 前提是10.0.0.1要能接收其他主机发来的日志信息

user.!=error                  # 表示记录user相关的,不包括error级别的信息

user.!error                   # 与user.error相反

*.info                        # 表示记录所有的日志信息的info级别

mail.*                        # 表示记录mail相关的所有级别的信息

*.*                           # 你懂的.

cron.info;mail.info           # 多个日志来源可以用";" 隔开

cron,mail.info                # 与cron.info;mail.info 是一个意思

mail.*;mail.!=info            # 表示记录mail相关的所有级别的信息,但是不包括info级别的

接下来去翻译下rhel5.x系统上自带的syslog的配置文件/etc/syslog.conf

# 表示将所有facility的info级别,但不包括mail,authpriv,cron相关的信息,记录到 /var/log/messages文件

*.info;mail.none;authpriv.none;cron.none /var/log/messages

# 表示将权限,授权相关的所有基本的信息,记录到/var/log/secure文件中.这个文件的权限是600

authpriv.*   /var/log/secure

# 表示将mail相关的所有基本的信息记录到/var/log/maillog文件中,可以看到路径前面有一个"-"

# "-" 表示异步写入磁盘,

mail.*       -/var/log/maillog

# 表示将任务计划相关的所有级别的信息记录到/var/log/cron文件中

cron.*     /var/log/cron

# 表示将所有facility的emerg级别的信息,发送给登录到系统上的所有用户

*.emerg    *

# 表示将uucp及news的crit级别的信息记录到/var/log/spooler文件中

uucp,news.crit  /var/log/spooler

# 表示将local7的所有级别的信息记录到/var/log/boot.log文件中,

# 上面说过local0 到local7这8个是用户自定义使用的,这里的local7记录的是系统启动相关的信息

local7.*    /var/log/boot.log

syslog默认记录的日志格式有四个字段,时间标签主机子系统名称消息

可以使用tail  /var/log/messages 看下

syslog的介绍到这里基本上已经完成了。