syslogd 的配置文件是/etc/syslog.conf  ,这个配置文件记录了 什么服务  在 什么等级需要记录在哪里!!!

  服务: 

syslog本身设置了一些服务:syslog本身有一些服务,你可以通过这些服务来存储系统的信息

    auth:与认证相关的机制  如ssh login su等

    cron:  与工作调度相关生成信息日志的地方

    dameon: 与各个daemon有关的信息

   kern:   与内核查收信息的地方

   lpr:  与打印相关的信息

   mail:  与邮件收发有关的信息记录都属于这个

   new: 与新闻服务器相关的东西

   syslog: 与syslogd本身程序相关的信息


 上面是syslog自身定制的一些服务,一些软件开发也可以调用上述服务来记录他们的软件。  比如: sendmail  postfix  dovecot 都是与邮件相关的软件,这些软件在设置日志文件记录时,都会主动调用syslog的 mail服务,所以这三个软件 在 syslog看来,就会是mail类型的服务了!!!


  上面各个服务产生的日志信息量是不一样的,为了每个服务的不同信息记录到不同的文件中,就有

  /etc/syslog.conf规范的了!!!



  信息等级  7个


      info       一些基本的信息

      notice    除了info还需要注意的一些信息

      warn     警示的信息,可能有问题,但不至于影响某个dameon运行信息, info  notice  warn是      告      知一些基本信息,不至于造成一些系统运行困扰

      error   一些重大错误信息,某些设置造成服务无法启动

      crit     比error还要严重的信息,这个错误已经很严重了

      albert   比crit还要严重,警告,已经很有问题的等级

     emerg(panic)  疼痛等级  指系统已经几乎要死机的状态!通常是硬件出现问题导致内核无法顺利运  行,就会出现这样的等级信息!


    另外还要两个等级  debu错误检测等级   none 不需要登录等级

  当我们想做一些错误检测或忽略掉某些服务的信息时,就用这两个



 



日志文件的安全设置:

   作为系统管理员有时候遇到日志文件有异常或者/var/log下面的文件被删除 


  chattr +a  /var/log/message 

  可以让日志文件只增加 不能删除 和修改

有时候 vi  vim  /var/log/message 日志文件 :wq保存后 就不会被记录, 因为syslog会误判该文件已经被改动过,将导致syslogd不再写入该文件新的内容

  /etc/init.d/syslog  restart 即可 恢复正常记录



 由于+a属性让文件无法被删除和修改,所以logrotate日志文件轮替时,将无法移动改日志文件的文件名, 可以在logrotate配置文件中解决 也可以

  chattr -a  /var/log/message