syslog及syslog-ng详解

   一台服务器的日志对系统工程师来说是至关重要的,一旦服务器出现故障或被***,我们需要查看日志来定位问题的关键所在,所以说对于线上跑的服务器而言日志应该合理的处理及管理.下面来介绍下linux系统的syslog日志服务器.

一.syslog详解
1,syslog简介
syslog 系统日志,记录linux系统启动及运行的过程中产生的信息,rhel5.x系统上默认自带了syslog 其配置文件是/etc/syslog.conf
syslog 默认有两个守护进程,klogd,syslogd,
klogd 进程是记录系统运行的过程中内核生成的日志,而在系统启动的过程中内核初始化过程中 生成的信息记录到控制台(/dev/console）当系统启动完成之后会把此信息存放到/var/log/dmesg文件中,我可以通过cat /var/log/dmesg查看这个文件,也可以通过dmesg命令来查看
syslogd 进程是记录非内核以外的信息
而为什么需要两个守护进程呢?是因为内核跟其他信息需要记录的详细程度及格式的不同
我们使用ps命令可以看到syslog的两个守护进程

1. ps -ef | grep klogd | grep -v grep 
2. root      3308     1  0 Nov26 ?        00:00:00 klogd -x 
3.  
4. ps -ef | grep syslogd | grep -v grep  
5. root      3288     1  0 Nov26 ?        00:00:00 syslogd -m 0 

上面通过ps命令可以看到syslog的两个守护进程,而这两个守护进程是共用一个配置文件/etc/syslog.conf,下面介绍下其配置文件

2.syslog配置文件详解

1. 配置文件定义格式为 facility.priority   action 
2.  facility,可以理解为日志的来源或设备目前常用的facility有以下及中 
3.     1,auth      # 认证相关的 
4.     2,authpriv  # 权限,授权相关的 
5.     3,cron      # 任务计划相关的 
6.     4,daemon    # 守护进程相关的 
7.     5,kern      # 内核相关的 
8.     6,lpr       # 打印相关的 
9.     7,mail      # 邮件相关的 
10.     8,mark      # 标记相关的 
11.     9,news      # 新闻相关的 
12.     10,security # 安全相关的,与auth 类似  
13.     11,syslog   # syslog自己的 
14.     12,user     # 用户相关的 
15.     13,uucp     # unix to unix cp 相关的 
16.     14,local0 到 local7 # 用户自定义使用 
17.     15,*        # *表示所有的facility 
18.     等..... 
19.  
20.  priority(log level)日志的级别,一般有以下几种级别(从低到高) 
21.     debug           # 程序或系统的调试信息 
22.     info            # 一般信息, 
23.     notice          # 不影响正常功能,需要注意的消息 
24.     warning/warn    # 可能影响系统功能,需要提醒用户的重要事件 
25.     err/error       # 错误信息 
26.     crit            # 比较严重的 
27.     alert           # 必须马上处理的 
28.     emerg/oanic     # 会导致系统不可用的 
29.     *               # 表示所有的日志级别 
30.     none            # 跟* 相反,表示啥也没有 
31.      
32.  action(动作)日志记录的位置 
33.     系统上的绝对路径    # 普通文件 如： /var/log/xxx 
34.     |                   # 管道  通过管道送给其他的命令处理 
35.     终端              # 终端   如：/dev/console 
36.     @HOST               # 远程主机 如： @10.0.0.1      
37.     用户              # 系统用户 如： root 
38.     *                   # 登录到系统上的所有用户，一般emerg级别的日志是这样定义的 

1. 定义格式例子： 
2. mail.info   /var/log/mail.log # 表示将mail相关的,级别为info及 
3.                               # info以上级别的信息记录到/var/log/mail.log文件中 
4. auth.=info  @10.0.0.1         # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去 
5.                               # 前提是10.0.0.1要能接收其他主机发来的日志信息 
6. user.!=error                  # 表示记录user相关的,不包括error级别的信息 
7. user.!error                   # 与user.error相反 
8. *.info                        # 表示记录所有的日志信息的info级别 
9. mail.*                        # 表示记录mail相关的所有级别的信息 
10. *.*                           # 你懂的. 
11. cron.info;mail.info           # 多个日志来源可以用";" 隔开 
12. cron,mail.info                # 与cron.info;mail.info 是一个意思 
13. mail.*;mail.!=info            # 表示记录mail相关的所有级别的信息,但是不包括info级别的 

1. 接下来去翻译下rhel5.x系统上自带的syslog的配置文件/etc/syslog.conf 
2. # 表示将所有facility的info级别,但不包括mail,authpriv,cron相关的信息,记录到 /var/log/messages文件 
3. *.info;mail.none;authpriv.none;cron.none                /var/log/messages 
4.  
5. # 表示将权限,授权相关的所有基本的