日志系统:系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到***时***者留下的痕迹。类似于生活中的日记

有的是默认的系统日志文件,有的仅用于安全消息,有的记载 cron 任务的日志。 当你在试图诊断和解决系统问题时,如试图载入内核驱动程序或寻找对系统未经授权的使用企图时,日志文件会很有用。本节讨论要到哪里去寻找日志文件,如何查看日志文件,以及在日志文件中查看什么。 某些日志文件被叫做 syslogd 守护进程控制。被 syslogd 维护的日志消息列表可以在 /etc/syslog.conf 配置文件中找到。

 产生日志的子系统:facility, 定义哪个子系统所产生的信息,还要记录多大级别及以上的所有级别信息,还有指定信息存储的位置

linux环境下的几种日志文件

       syslog:升级到是一种syslog-ng,是开源版。

 syslog:Linux每一个程序都可以产生日志,自己进行记录,记录的位置。鉴于每个程序产生的日志信息的方式不同,所以linux系统专门创建了一个程序,负责统一记录各程序产生的日志信息。 所以syslog是一种服务,专门提供记录日志的功能,可以把每个程序理解成子系统,事实上未必所有程序都使用,只是系统上常见的程序会使用

syslog服务本身有两个进程syslogd和klogd

syslogd:负责记录非内核产生的信息

Klogd:负责内核所产生的信息,配置文件/etc/syslog.conf

        流程:kernel --> 物理终端(/dev/console) --> /var/log/dmesg

            # dmesg

            # cat /var/log/dmesg 这两种方式可以查看内核初始化的信息

/sbin/init 

/var/log/messages: 系统标准错误日志信息;非内核产生引导信息;各子系统产生的信息;

/var/log/maillog: 邮件系统产生的日志信息;

/var/log/secure: 与安全相关的日志信息

/var/log/messages

负责日志切割:logrotate 

linux系统上有一个专门完成任务计划,来完成日志滚动 查看日志让滚动的设置信息

 

logrotate的配置文件

系统日志会产生片段,定义每一个子系统所产生的日志滚动机制  

/var/log/secure

任何一个用户登陆时产生的登陆信息,用户名,密码,及登陆时间等信息

   

    配置文件定义格式为: facility.priority        action 

 facility,可以理解为日志的来源或设备目前常用的facility有以下几种: 

    auth                 认证相关的 

    authpriv             权限,授权相关的 

    cron                 任务计划相关的 

    daemon               守护进程相关的 

    kern                 内核相关的 

    lpr                  # 打印相关的 

    mail                 # 邮件相关的 

    mark                 # 标记相关的 

    news                 # 新闻相关的 

    security             安全相关的,auth 类似  

    syslog               # syslog自己的 

    user                 用户相关的 

    uucp                 # unix to unix cp 相关的 

    local0 到 local7       用户自定义使用 

    *                    # *表示所有的facility 

 

 priority(log level)日志的级别,一般有以下几种级别(从低到高

    debug                 # 程序或系统的调试信息 ,排除错误时使用

    info                  一般信息

    notice                # 不影响正常功能,需要注意的消息 

    warning/warn          # 可能影响系统功能,需要提醒用户的重要事件 

    err/error             # 错误信息 

    crit                  比较严重的 

    alert                 # 必须马上处理的 

    emerg/panic           会导致系统不可用的 

    *                     # 表示所有的日志级别 

    none                  # 相反,表示啥也没有 

     

 action(动作)日志记录的位置 

    系统上的绝对路径       # 普通文件 如: /var/log/xxx 

    |                      # 管道  通过管道送给其他的命令处理 

    终端                   # 终端   如:/dev/console 

    @HOST                  # 远程主机 如: @10.0.0.1      

    用户                   # 系统用户 如: root 

    *                      # 登录到系统上的所有用户,一般emerg级别的日志是这样定义的 

   

定义格式例子: 

mail.info   /var/log/mail.log    # 表示将mail相关的,级别为info及 

                                 # info以上级别的信息记录到/var/log/mail.log文件中 

auth.=info  @10.0.0.1            # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去 

                                 # 前提是10.0.0.1要能接收其他主机发来的日志信息 

user.!=error                     表示记录user相关的,不包括error级别的信息 

user.!error                      # user.error相反 

*.info                           # 表示记录所有的日志信息的info级别 

mail.*                           # 表示记录mail相关的所有级别的信息 

*.*                              # 你懂的

cron.info;mail.info              多个日志来源可以用";" 隔开 

cron,mail.info                   cron.info;mail.info 是一个意思 

mail.*;mail.!=info               表示记录mail相关的所有级别的信息,但是不包括info级别的 

 例:  *.info;mail.none;authpriv.none;cron.none :除了mailauthprivcron,以外infoinfo以上的级别

authpriv.* :跟用户授权相关的

可以手动编译日志格式:

    

改变日志是后,执行

让服务不用重启,就可以重读配置文件,因为重启日志服务时,还有进程执行产生日志信息,所有建议此种方式进行重读,