linux日志syslog知识总结

介绍
syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收syslog的服务器。
接收syslog的服务器可以对多个设备的syslog消息进行统一的存储，或者解析其中的内容做相应的处理。
常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或Level)、时间、主机名或IP、进程名、进程ID和正文。

1.工作流程
inux日记系统由系统日志监控程序syslogd和内核日志监控程序klogd组成。
消息:通过UNIX套接字发送给syslogd
内核消息:由klogd读取/proc/kmsg文件,将读取的内容发送给syslogd
远程消息:使用UDP 514端口

2.syslog的配置文件syslog.conf
a.基本语法
  [消息类型（规则）]     [处理方案（日记文件）]
b.消息类型
  由消息来源和优先级构成,中间点号连接。
  消息来源(facility)：
     kern  内核产生的信息
     user  用户进程
     daemon 系统守护进程
     mail  电子邮件系统
     auth  与安全权限相关的命令(login, su, getty等)
     lpr   打印机
     news  新闻组信息
     uucp  uucp程序
     cron  cron守护进程
     wtmp  一个用户每次登录和退出时间的永久记录
     authpriv 授权信息
     mark
     ftp    ftp文件传输信息
   优先级(priority):
     emerg  最高的紧急程度状态
     alert  紧急状态
     crit   重要信息
     warning 警告
     err    临界状态
     notice 不是错误信息，但可能需要处理
     info   一般性消息
     debug  调试级信息
     none   不记录任何日志信息
c.处理方案
   一般为文件路径，可以是设备文件、普通文件或远程机器,如/dev/console,/var/log/messages,@192.168.1.100
d.syslog.conf内容格式
   facility.priority     action
   
   facility可以为facility1,facility2等多个由逗号分隔,或者*
   priority可以为*或priority,所有优先级大于或等于priority被发送

   facility.priority可以为多个,用分号隔开。如:*.info;mail.none;authpriv.none;cron.none

   action可以为设备文件、一般文件或远程主机&#x