linux syslog原理,Linux日志管理之詳解 syslog/vsyslog

1、syslog簡介

syslog 是一種工業標准的協議，可用來記錄設備的日志。在UNIX系統，路由器、交換機等網絡設備中，系統日志(System Log)記錄系統中任何時間發生的大小事件。管理者可以通過查看系統記錄，隨時掌握系統狀況。UNIX的系統日志是通過syslogd這個進程記錄系統有關事件記錄，也可以記錄應用程序運作事件。通過適當的配置，我們還可以實現運行syslog協議的機器間通信，通過分析這些網絡行為日志，藉以追蹤掌握與設備和網絡有關的狀況。

2、syslog配置文件

syslog 設備依據兩個重要的文件：/etc/syslogd守護進程和/etc/syslog.conf配置文件。通常情況下，多數syslog信息被寫到 /var/adm或/var/log目錄下的信息文件中(messages.*)。一個典型的syslog記錄包括生成程序的名字和一個文本信息。它還包括一個設備和一個優先級范圍。

通過使用syslog.conf文件，可以對生成的日志的位置及其相關信息進行靈活的配置。該配置文件指明了syslogd守護程序記錄日志的行為，該程序在啟動時查詢配置文件。該文件由不同程序或消息分類的單個條目組成，每個占一行。對每類消息提供一個選擇域和一個動作域。這些域由tab隔開：

選擇域指明消息的類型和優先級;

動作域指明syslogd接收到一個與選擇標准相匹配的消息時所執行的動作。

syslog.conf行的基本語法是：

消息類型.優先級 動作域

其中，每個選擇域是由消息類型和優先級組成。當指明一個優先級時，syslogd將記錄一個擁有相同或更高優先級的消息。Linux中一些主要的消息類型如表2所示，表3列出了一些優先級信息：

表1 syslog消息類型

表2 syslog常用優先級

不同的服務類型有不同的優先級，數值較大的優先級涵蓋數值較小的優先級。如果某個選擇條件只給出了一個優先級而沒有使用任何優先級限定符，對應於這個優先級的消息以及所有更緊急的消息類型都將包括在內。比如說࿰