syslog-ng
https://syslog-ng.org/
syslog
-
ng安装中报错,解决glib-2.0 >= 2.10.1 gmodule-2.0 gthread-2.0
sudo apt-get install libperl-dev
sudo apt-get install libgtk2.0-dev
sudo apt-get install python-dev
syslog-ng.conf文件里的内容有以下几个部分组成,
# 全局选项,多个选项时用分好";"隔开
options { .... };
# 定义日志源,
source s_name { ... };
# 定义过滤规则,规则可以使用正则表达式来定义,这里是可选的,不定义也没关系
filter f_name { ... };
# 定义目标
destination d_name { ... };
# 定义消息链可以将多个源,多个过滤规则及多个目标定义为一条链
log { ... };
详解如下
----------------------------------------------------------------
options { long_hostnames(off); sync(0); perm(0640); stats(3600); };
更多选项如下
chain_hostnames(yes|no) # 是否打开主机名链功能,打开后可在多网络段转发日志时有效
long_hostnames(yes|no) # 是chain_hostnames的别名,已不建议使用
keep_hostname(yes|no) # 是否保留日志消息中保存的主机名称
use_dns(yes|no) # 是否打开DNS查询功能,
use_fqdn(yes|no) # 是否使用完整的域名
check_hostname(yes|no) # 是否检查主机名有没有包含不合法的字符
bad_hostname(regexp) # 可通过正规表达式指定某主机的信息不被接受
dns_cache(yes|no) # 是否打开DNS缓存功能
dns_cache_expire(n) # DNS缓存功能打开时,一个成功缓存的过期时间
dns_cache_expire_failed(n) # DNS缓存功能打开时,一个失败缓存的过期时间
dns_cache_size(n) # DNS缓存保留的主机名数量
create_dirs(yes|no) # 当指定的目标目录不存在时,是否创建该目录
dir_owner(uid) # 目录的UID
dir_group(gid) # 目录的GID
dir_perm(perm) # 目录的权限,使用八进制方式标注,例如0644
owner(uid) # 文件的UID
group(gid) # 文件的GID
perm(perm) # 文件的权限,同样,使用八进制方式标注
gc_busy_threshold(n) # 当syslog-ng忙时,其进入垃圾信息收集状态的时间一旦分派的对象达到这个数字,syslog-ng就启动垃圾信息收集状态。默认值是:3000。
gc_idle_threshold(n) # 当syslog-ng空闲时,其进入垃圾信息收集状态的时间一旦被分派的对象到达这个数字,syslog-ng就会启动垃圾信息收集状态,默认值是:100
log_fifo_size(n) # 输出队列的行数
log_msg_size(n) # 消息日志的最大值(bytes)
mark(n) # 多少时间(秒)写入两行MARK信息供参考,目前没有实现
stats(n) # 多少时间(秒)写入两行STATUS信息,默认值是:600
sync(n) # 缓存多少行的信息再写入文件中,0为不缓存,局部参数可以覆盖该值。
time_reap(n) # 在没有消息前,到达多少秒,即关闭该文件的连接
time_reopen(n) # 对于死连接,到达多少秒,会重新连接
use_time_recvd(yes|no) # 宏产生的时间是使用接受到的时间,还是日志中记录的时间;建议使用R_的宏代替接收时间,S_的宏代替日志记录的时间,而不要依靠该值定义。
source s_name { internal(); unix-dgram("/dev/log"); udp(ip("0.0.0.0") port(514)); };
file (filename) # 从指定的文件读取日志信息
unix-dgram (filename) # 打开指定的SOCK_DGRAM模式的unix套接字,接收日志消息
unix-stream (filename) # 打开指定的SOCK_STREAM模式的unix套接字,接收日志消息
udp ( (ip),(port) ) # 在指定的UDP端口接收日志消息
tcp ( (ip),(port) ) # 在指定的TCP端口接收日志消息
sun-streams (filename) # 在solaris系统中,打开一个(多个)指定的STREAM设备,从其中读取日志消息
internal() # syslog-ng内部产生的消息
pipe(filename),fifo(filename) # 从指定的管道或者FIFO设备,读取日志信息
filter f_name { not facility(news, mail) and not filter(f_iptables); };
更多规则函数如下
facility(..) # 根据facility(设备)选择日志消息,使用逗号分割多个facility
level(..) # 根据level(优先级)选择日志消息,使用逗号分割多个level,或使用“..”表示一个范围
program(表达式) # 日志消息的程序名是否匹配一个正则表达式
host(表达式) # 日志消息的主机名是否和一个正则表达式匹配
match(表达式) # 对日志消息的内容进行正则匹配
filter() # 调用另一条过滤规则并判断它的值
定义规则的时候也可以使用逻辑运算符and or not
destination d_name { file("/var/log/messages"); };
更多动作如下
file (filename) # 把日志消息写入指定的文件
unix-dgram (filename) # 把日志消息写入指定的SOCK_DGRAM模式的unix套接字
unix-stream (filename) # 把日志消息写入指定的SOCK_STREAM模式的unix套接字
udp (ip),(port) # 把日志消息发送到指定的UDP端口
tcp (ip),(port) # 把日志消息发送到指定的TCP端口
usertty(username) # 把日志消息发送到已经登陆的指定用户终端窗口
pipe(filename),fifo(filename) # 把日志消息发送到指定的管道或者FIFO设备
program(parm) # 启动指定的程序,并把日志消息发送到该进程的标准输入
log { source(s_name); filter(f_name); destination(d_name) };
# 全局选项,多个选项时用分好";"隔开
options { .... };
# 定义日志源,
source s_name { ... };
# 定义过滤规则,规则可以使用正则表达式来定义,这里是可选的,不定义也没关系
filter f_name { ... };
# 定义目标
destination d_name { ... };
# 定义消息链可以将多个源,多个过滤规则及多个目标定义为一条链
log { ... };
详解如下
----------------------------------------------------------------
options { long_hostnames(off); sync(0); perm(0640); stats(3600); };
更多选项如下
chain_hostnames(yes|no) # 是否打开主机名链功能,打开后可在多网络段转发日志时有效
long_hostnames(yes|no) # 是chain_hostnames的别名,已不建议使用
keep_hostname(yes|no) # 是否保留日志消息中保存的主机名称
use_dns(yes|no) # 是否打开DNS查询功能,
use_fqdn(yes|no) # 是否使用完整的域名
check_hostname(yes|no) # 是否检查主机名有没有包含不合法的字符
bad_hostname(regexp) # 可通过正规表达式指定某主机的信息不被接受
dns_cache(yes|no) # 是否打开DNS缓存功能
dns_cache_expire(n) # DNS缓存功能打开时,一个成功缓存的过期时间
dns_cache_expire_failed(n) # DNS缓存功能打开时,一个失败缓存的过期时间
dns_cache_size(n) # DNS缓存保留的主机名数量
create_dirs(yes|no) # 当指定的目标目录不存在时,是否创建该目录
dir_owner(uid) # 目录的UID
dir_group(gid) # 目录的GID
dir_perm(perm) # 目录的权限,使用八进制方式标注,例如0644
owner(uid) # 文件的UID
group(gid) # 文件的GID
perm(perm) # 文件的权限,同样,使用八进制方式标注
gc_busy_threshold(n) # 当syslog-ng忙时,其进入垃圾信息收集状态的时间一旦分派的对象达到这个数字,syslog-ng就启动垃圾信息收集状态。默认值是:3000。
gc_idle_threshold(n) # 当syslog-ng空闲时,其进入垃圾信息收集状态的时间一旦被分派的对象到达这个数字,syslog-ng就会启动垃圾信息收集状态,默认值是:100
log_fifo_size(n) # 输出队列的行数
log_msg_size(n) # 消息日志的最大值(bytes)
mark(n) # 多少时间(秒)写入两行MARK信息供参考,目前没有实现
stats(n) # 多少时间(秒)写入两行STATUS信息,默认值是:600
sync(n) # 缓存多少行的信息再写入文件中,0为不缓存,局部参数可以覆盖该值。
time_reap(n) # 在没有消息前,到达多少秒,即关闭该文件的连接
time_reopen(n) # 对于死连接,到达多少秒,会重新连接
use_time_recvd(yes|no) # 宏产生的时间是使用接受到的时间,还是日志中记录的时间;建议使用R_的宏代替接收时间,S_的宏代替日志记录的时间,而不要依靠该值定义。
source s_name { internal(); unix-dgram("/dev/log"); udp(ip("0.0.0.0") port(514)); };
file (filename) # 从指定的文件读取日志信息
unix-dgram (filename) # 打开指定的SOCK_DGRAM模式的unix套接字,接收日志消息
unix-stream (filename) # 打开指定的SOCK_STREAM模式的unix套接字,接收日志消息
udp ( (ip),(port) ) # 在指定的UDP端口接收日志消息
tcp ( (ip),(port) ) # 在指定的TCP端口接收日志消息
sun-streams (filename) # 在solaris系统中,打开一个(多个)指定的STREAM设备,从其中读取日志消息
internal() # syslog-ng内部产生的消息
pipe(filename),fifo(filename) # 从指定的管道或者FIFO设备,读取日志信息
filter f_name { not facility(news, mail) and not filter(f_iptables); };
更多规则函数如下
facility(..) # 根据facility(设备)选择日志消息,使用逗号分割多个facility
level(..) # 根据level(优先级)选择日志消息,使用逗号分割多个level,或使用“..”表示一个范围
program(表达式) # 日志消息的程序名是否匹配一个正则表达式
host(表达式) # 日志消息的主机名是否和一个正则表达式匹配
match(表达式) # 对日志消息的内容进行正则匹配
filter() # 调用另一条过滤规则并判断它的值
定义规则的时候也可以使用逻辑运算符and or not
destination d_name { file("/var/log/messages"); };
更多动作如下
file (filename) # 把日志消息写入指定的文件
unix-dgram (filename) # 把日志消息写入指定的SOCK_DGRAM模式的unix套接字
unix-stream (filename) # 把日志消息写入指定的SOCK_STREAM模式的unix套接字
udp (ip),(port) # 把日志消息发送到指定的UDP端口
tcp (ip),(port) # 把日志消息发送到指定的TCP端口
usertty(username) # 把日志消息发送到已经登陆的指定用户终端窗口
pipe(filename),fifo(filename) # 把日志消息发送到指定的管道或者FIFO设备
program(parm) # 启动指定的程序,并把日志消息发送到该进程的标准输入
log { source(s_name); filter(f_name); destination(d_name) };