介绍
syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。
接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。
常见的应用场景是网络管理工具、安全管理系统、日志审计系统。
完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或Level)、时间、主机名或IP、进程名、进程ID和正文。
1.工作流程
inux日记系统由系统日志监控程序syslogd和内核日志监控程序klogd组成。
消息:通过UNIX套接字发送给syslogd
内核消息:由klogd读取/proc/kmsg文件,将读取的内容发送给syslogd
远程消息:使用UDP 514端口
2.syslog的配置文件syslog.conf
a.基本语法
[消息类型(规则)] [处理方案(日记文件)]
b.消息类型
由消息来源和优先级构成,中间点号连接。
消息来源(facility):
kern 内核产生的信息
user 用户进程
daemon 系统守护进程
mail 电子邮件系统
auth 与安全权限相关的命令(login, su, getty等)
lpr 打印机
news 新闻组信息
uucp uucp程序
cron cron守护进程
wtmp 一个用户每次登录和退出时间的永久记录
authpriv 授权信息
mark
ftp ftp文件传输信息
优先级(priority):
emerg 最高的紧急程度状态
alert 紧急状态
crit 重要信息
warning 警告
err 临界状态
notice 不是错误信息,但可能需要处理
info 一般性消息
debug 调试级信息
none 不记录任何日志信息
c.处理方案
一般为文件路径,可以是设备文件、普通文件或远程机器,如/dev/console,/var/log/messages,@192.168.1.100
d.syslog.conf内容格式
facility.priority action
facility可以为facility1,facility2等多个由逗号分隔,或者*
priority可以为*或priority,所有优先级大于或等于priority被发送
facility.priority可以为多个,用分号隔开。如:*.info;mail.none;authpriv.none;cron.none
action可以为设备文件、一般文件或远程主机&#x
syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。
接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。
常见的应用场景是网络管理工具、安全管理系统、日志审计系统。
完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或Level)、时间、主机名或IP、进程名、进程ID和正文。
1.工作流程
inux日记系统由系统日志监控程序syslogd和内核日志监控程序klogd组成。
消息:通过UNIX套接字发送给syslogd
内核消息:由klogd读取/proc/kmsg文件,将读取的内容发送给syslogd
远程消息:使用UDP 514端口
2.syslog的配置文件syslog.conf
a.基本语法
[消息类型(规则)] [处理方案(日记文件)]
b.消息类型
由消息来源和优先级构成,中间点号连接。
消息来源(facility):
kern 内核产生的信息
user 用户进程
daemon 系统守护进程
mail 电子邮件系统
auth 与安全权限相关的命令(login, su, getty等)
lpr 打印机
news 新闻组信息
uucp uucp程序
cron cron守护进程
wtmp 一个用户每次登录和退出时间的永久记录
authpriv 授权信息
mark
ftp ftp文件传输信息
优先级(priority):
emerg 最高的紧急程度状态
alert 紧急状态
crit 重要信息
warning 警告
err 临界状态
notice 不是错误信息,但可能需要处理
info 一般性消息
debug 调试级信息
none 不记录任何日志信息
c.处理方案
一般为文件路径,可以是设备文件、普通文件或远程机器,如/dev/console,/var/log/messages,@192.168.1.100
d.syslog.conf内容格式
facility.priority action
facility可以为facility1,facility2等多个由逗号分隔,或者*
priority可以为*或priority,所有优先级大于或等于priority被发送
facility.priority可以为多个,用分号隔开。如:*.info;mail.none;authpriv.none;cron.none
action可以为设备文件、一般文件或远程主机&#x