syslog 详解

最新推荐文章于 2024-05-08 21:07:57 发布
最新推荐文章于 2024-05-08 21:07:57 发布
阅读量6.8w 收藏 201
点赞数 21
分类专栏: Linux 文章标签: unix 服务器
原文链接:http://www.cnblogs.com/skyofbitbit/p/3674664.html
版权

前言,分三部分

一、syslog协议介绍
二、syslog函数
三、linux syslog配置

一、syslog协议介绍

1、介绍

在Unix类操作系统上,syslog广泛应用于系统日志。syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。
完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或 Level)、时间、主机名或IP、进程名、进程ID和正文。在Unix类操作系统上,能够按Facility和Severity的组合来决定什么样的日志消息是否需要记录,记录到什么地方,是否需要发送到一个接收syslog的服务器等。由于syslog简单而灵活的特性,syslog不再仅限于 Unix类主机的日志记录,任何需要记录和发送日志的场景,都可能会使用syslog。
长期以来,没有一个标准来规范syslog的格式,导致syslog的格式是非常随意的。最坏的情况下,根本就没有任何格式,导致程序不能对syslog 消息进行解析,只能将它看作是一个字符串。
在2001年定义的RFC3164中,描述了BSD syslog协议:
http://www.ietf.org/rfc/rfc3164.txt
不过这个规范的很多内容都不是强制性的,常常是“建议”或者“约定”,也由于这个规范出的比较晚,很多设备并不遵守或不完全遵守这个规范。接下来就介绍一下这个规范。
约定发送syslog的设备为Device,转发syslog的设备为Relay,接收syslog的设备为Collector。Relay本身也可以发送自身的syslog给Collector,这个时候它表现为一个Device。Relay也可以只转发部分接收到的syslog消息,这个时候它同时表现为Relay和Collector。
syslog消息发送到Collector的UDP 514端口,不需要接收方应答,RFC3164建议 Device 也使用514作为源端口。规定syslog消息的UDP报文不能超过1024字节,并且全部由可打印的字符组成。完整的syslog消息由3部分组成,分别是PRI、HEADER和MSG。大部分syslog都包含PRI和MSG部分,而HEADER可能没有。

2、syslog的格式

下面是一个syslog消息:

<30>Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting.

其中“<30>”是PRI部分,“Oct 9 22:33:20 hlfedora”是HEADER部分,“auditd[1787]: The audit daemon is exiting.”是MSG部分。

2.1、PRI部分

PRI部分由尖括号包含的一个数字构成,这个数字包含了程序模块(Facility)、严重性(Severity),这个数字是由Facility乘以 8,然后加上Severity得来。不知道他们为什么发明了这么一种不直观的表示方式。
也就是说这个数字如果换成2进制的话,低位的3个bit表示Severity,剩下的高位的部分右移3位,就是表示Facility的值。
十进制30 = 二进制0001 1110
0001 1… = Facility: DAEMON - system daemons (3)
… .110 = Severity: INFO - informational (6)
Facility的定义如下,可以看出来syslog的Facility是早期为Unix操作系统定义的,不过它预留了User(1),Local0~7 (16~23)给其他程序使用:

Numerical             Facility
 Code
  0             kernel messages
  1             user-level messages
  2             mail system
  3             system daemons
  4             security/authorization messages (note 1)
  5             messages generated internally by syslogd
  6             line printer subsystem
  7             network news subsystem
  8             UUCP subsystem
  9             clock daemon (note 2)
 10             security/authorization messages (note 1)
 11             FTP daemon
 12             NTP subsystem
 13             log audit (note 1)
 14             log alert (note 1)
 15             clock daemon (note 2)
 16             local use 0  (local0)
 17             local use 1  (local1)
 18             local use 2  (local2)
 19             local use 3  (local3)
 20             local use 4  (local4)
 21             local use 5  (local5)
 22             local use 6  (local6)
 23             local use 7  (local7)
Note 1 - Various operating systems have been found to utilize
  Facilities 4, 10, 13 and 14 for security/authorization,
  audit, and alert messages which seem to be similar.
Note 2 - Various operating systems have been found to utilize
  both Facilities 9 and 15 for clock (cron/at) messages.

Severity的定义如下:

Numerical         Severity
Code
 0       Emergency: system is unusable
 1       Alert: action must be taken immediately
 2       Critical: critical conditions
 3       Error: error conditions
 4       Warning: warning conditions
 5       Notice: normal but significant condition
 6       Informational: informational messages
 7       Debug: debug-level messages

也就是说,尖括号中有1~3个数字字符,只有当数字是0的时候,数字才以0开头,也就是说00和01这样在前面补0是不允许的。
2.2、HEADER部分

HEADER部分包括两个字段,时间和主机名(或IP)。
时间紧跟在PRI后面,中间没有空格,格式必须是“Mmm dd hh:mm:ss”,不包括年份。“日”的数字如果是1~9,前面会补一个空格(也就是月份后面有两个空格),而“小时”、“分”、“秒”则在前面补“0”。月份取值包括:

Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec

时间后边跟一个空格,然后是主机名或者IP地址,主机名不得包括域名部分。
因为有些系统需要将日志长期归档,而时间字段又不包括年份,所以一些不标准的syslog格式中包含了年份,例如:

<165>Aug 24 05:34:00 CST 1987 mymachine myproc[10]: %% It's
time to make the do-nuts. %% Ingredients: Mix=OK, Jelly=OK #
Devices: Mixer=OK, Jelly_Injector=OK, Frier=OK # Transport:
Conveyer1=OK, Conveyer2=OK # %%

这样会导致解析程序将“CST”当作主机名,而“1987”开始的部分作为MSG部分。解析程序面对这种问题,可能要做很多容错处理,或者定制能解析多种syslog格式,而不仅仅是只能解析标准格式。
HEADER部分后面跟一个空格,然后是MSG部分。
有些syslog中没有HEADER部分。这个时候MSG部分紧跟在PRI后面,中间没有空格。

2.3、MSG部分

MSG部分又分为两个部分,TAG和Content。其中TAG部分是可选的。
在前面的例子中(“<30>Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting.”),“auditd[1787]”是TAG部分,包含了进程名称和进程PID。PID可以没有,这个时候中括号也是没有的。
进程PID有时甚至不是一个数字,例如“root-1787”,解析程序要做好容错准备。
TAG后面用一个冒号隔开Content部分,这部分的内容是应用程序自定义的。

3、RFC3195

BSD syslog协议使用UDP协议在网络中传递,然而UDP是一个不可靠的协议,并且syslog也没有要求接收方有所反馈。为了解决这个问题,RFC又定义了一个新的规范来可靠的传递syslog消息,它使用TCP协议:
http://www.ietf.org/rfc/rfc3195.txt
不过大多数情况下,使用UDP发送不需要确认的syslog消息,已经能够满足要求了,并且这样做非常简单。因此到目前为止,RFC3195的应用还是很少见的。

二、syslog函数

Linux C中提供一套系统日记写入接口,包括三个函数:openlog,syslog和closelog。
调用openlog是可选择的。如果不调用openlog,则在第一次调用syslog时,自动调用openlog。调用closelog也是可选择的,它只是关闭被用于与syslog守护进程通信的描述符。

#include //头文件
void openlog (char*ident, int option, int facility); 
void closelog(); 
void syslog(int priority, char*format,……);

priority参数的格式(severity level|facility code)
示例:

LOG_ERR|LOG_USER
 
severity level:
Priority Level               Description
LOG_EMERG                    An emergency situation
LOG_ALERT                    High-priority problem, such as database corruption
LOG_CRIT                     Critical error, such as hardware failure
LOG_ERR                      Errors
LOG_WARNING                  Warning
LOG_NOTICE                   Special conditions requiring attention
LOG_INFO                     Informational messages
LOG_DEBUG                    Debug messages

facility value(转自syslog.h头文件):

#define LOG_KERN        (0<<3)  
#define LOG_USER        (1<<3)  
#define LOG_MAIL        (2<<3)  
#define LOG_DAEMON      (3<<3)  
#define LOG_AUTH        (4<<3)  
#define LOG_SYSLOG      (5<<3)  
#define LOG_LPR         (6<<3)  
#define LOG_NEWS        (7<<3)  
#define LOG_UUCP        (8<<3)  
#define LOG_CRON        (9<<3)  
#define LOG_AUTHPRIV    (10<<3)
#define LOG_FTP         (11<<3)

三、linux syslog配置

1)、syslog日志服务:
1、守护进程:syslog
2、端口:514
3、配置文件:/etc/syslog.conf
4、常见日志文件:

/var/log/dmesg      内核引导信息日志
/var/log/message    标准系统错误信息日志
/var/log/maillog    邮件系统信息日志
/var/log/cron       计划任务日志
/var/log/secure     安全信息日志

2)、 配置文件:
syslog配置文件如下

[root@server ~]# vim /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure
# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog
# Log cron stuff
cron.*                                                  /var/log/cron
# Everybody gets emergency messages
*.emerg                                                 *
# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler
# Save boot messages also to boot.log
local7.*

配置文件中每行表示一个项目,格式为:facility.level action
由两个部分组成:
第一部分:选择条件(可以有一个或者多个条件),分为两个字段。
第二部分:操作动作;
1、选择条件
选择条件本身分为两个字段,之间用一个小数点(.)分隔。前一字段是一项服务,后一字段是一个优先级。选择条件是对消息类型的一种分类,这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件,但必须用分号(;)隔开。
常见facility:
kern 内核信息;
user 用户进程信息;
mail 电子邮件相关信息;
daemon 后台进程相关信息;
authpriv 包括特权信息如用户名在内的认证活动;
cron 计划任务信息;
syslog 系统日志信息
lpr 打印服务相关信息。
news 新闻组服务器信息
uucp uucp 生成的信息
local0----local7 本地用户信息
2、重要级:
重要级是选择条件的第二个字段,它代表消息的紧急程度。
按严重程度由低到高排序:
debug 不包含函数条件或问题的其他信息
info 提供信息的消息
none 没有重要级,通常用于排错
notice 具有重要性的普通条件
warning 预警信息
err 阻止工具或某些子系统部分功能实现的错误条件
crit 阻止某些工具或子系统功能实现的错误条件
alert 需要立即被修改的条件
emerg 该系统不可用
不同的服务类型有不同的优先级,数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符,对应于这个优先级的消息以及所有更紧急的消息类型都将包括在内。比如说,如果某个选择条件里的优先级是“warning”,它实际上将把“warning”、 “err”、“crit”、“alert”和“emerg”都包括在内。
3、操作动作
日志信息可以分别记录到多个文件里,还可以发送到命名管道、其他程序甚至另一台机器。
syslog 主要支持以下活动:
file 指定文件的绝对路径
terminal 或 prin 完全的串行或并行设备标志符
@host(@IP地址) 远程的日志服务器

3)、 搭建Linux日志服务器:
1、编辑/etc/sysconfig/syslog文件,让服务器能够接受客户端传来的数据:
在“SYSLOGD_OPTIONS”行上加“-r”选项以允许接受外来日志消息。

[root@client ~]# vim /etc/sysconfig/syslog
# Options to syslogd
# -m 0 disables 'MARK' messages.
# -r enables logging from remote machines
# -x disables DNS lookups on messages recieved with -r
# See syslogd(8) for more details
SYSLOGD_OPTIONS="-r -m 0"
# Options to klogd
# -2 prints all kernel oops messages twice; once for klogd to decode, and
#    once for processing with 'ksymoops'
# -x disables all klogd processing of oops messages entirely
# See klogd(8) for more details
KLOGD_OPTIONS="-x"
#
SYSLOG_UMASK=077
# set this to a umask value to use for all log files as in umask(1).
# By default, all permissions are removed for "group" and "other".

2、重新启动syslog守护进程。

[root@client ~]# service syslog restart
关闭内核日志记录器: [确定]
关闭系统日志记录器: [确定]
启动系统日志记录器: [确定]
启动内核日志记录器: [确定]

3、关闭iptables,也可以开启514端口。本例中我们关闭iptables。

四、配置各客户端:

1、配置/etc/syslog.conf

修改客户机/etc/syslog.conf文件,在有关配置行的操作动作部分用一个“@”字符指向日志服务器

[root@client ~]# vim /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console
*.*                                                     @10.64.165.210
# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure
……下面省略

另外如果配置了DNS域名的话可以使用域名。

2、重启客户端syslog使设置生效。

检测成果:下图是我们在客户端重启iptables服务后在服务端看到的日志情况:
[root@client ~]# cat /var/log/messages |tail
Nov 30 16:44:29 10.64.165.200 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Nov 30 16:44:33 10.64.165.200 kernel: Removing netfilter NETLINK layer.
Nov 30 16:44:33 10.64.165.200 kernel: ip_tables: (C) 2000-2006 Netfilter Core Team
Nov 30 16:44:33 10.64.165.200 kernel: Netfilter messages via NETLINK v0.30.
Nov 30 16:44:33 10.64.165.200 kernel: ip_conntrack version 2.4 (4096 buckets, 32768 max) - 228 bytes per conntrack
SHUIPING_YANG
关注
  • 21
    点赞
  • 201
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
linux内核日志使用syslog,Linux日志系统syslog详解
weixin_42569329的博客
04-29 4472
一台服务器的日志对系统工程师来说是至关重要的,一旦服务器出现故障或被入侵,我们需要查看日志来定位问题的关键所在,所以说对于线上跑的服务器而言日志应该合理的处理及管理.下面来介绍下linux系统的syslog日志服务器.一.syslog详解1,syslog简介syslog 系统日志,记录linux系统启动及运行的过程中产生的信息,rhel5.x系统上默认自带了syslog 其配置文件是/etc/sy...
linux syslog函数,Linux syslog相关函数详解
weixin_29823011的博客
05-11 1784
介绍syslogUnix系统的日志系统。可以将日志记录在本地系统中。一个完整的syslong日志包含如下信息:程序模块 | 严重性 | 时间 | 主机名 | 进程名 | 进程ID | 正文。syslong相关函数1. openlog()函数。调用openlog()函数时可选的。如果不调用openlog()函数,则在第一次调用syslong()函数时打开日志连接。#include /** iden...
syslog的日志级别和设施的含义和用途
互联网知识分享
12-11 1640
上面的代码中,我们首先通过openlog函数打开syslog,指定了日志标识符、选项和设施,然后使用syslog函数记录日志消息,最后通过closelog函数关闭syslogsyslog是一个用于记录系统事件的标准协议,日志级别用于描述事件的严重程度,它包括8个级别,每个级别都有其特定的含义和用途。syslog的设施用于描述产生日志消息的设备或进程类型,它包括了23个设施,每个设施都有其特定的含义和用途。表示记录所有设施和级别的日志到/var/log/syslog文件中。
rsyslog日志系统
hello,word!
02-10 1962
模板定义的形式有四种,适用于不同的输出模块,一般简单的格式,可以使用string的形式,复杂的格式,建议使用list的形式,使用list的形式,可以使用一些额外的属性字段(property statement),例如:position.from、position.end。比较典型的一个例子,针对不同的端口使用不同的过滤规则。在定义好ruleset后,各个输出模块就可以指定自己使用的ruleset了,具体如何指定,可以查看输出模块的手册,一般会有一个ruleset的参数,用来实现这个功能。
FreeRTOS介绍
最新发布
2301_78772787的博客
05-08 982
Free即免费的,RTOS的全称是Real time operating system,中文就是实时操作系统。注意:RTOS不是指某一个确定的系统,而是指一类操作系统。比如:uc/OS,FreeRTOS,RTX, RT-Thread等这些都是RTOS类操作系统。FreeRTOS是一个迷你的实时操作系统内核。作为一个轻量级的操作系统,功能包括:任务管理、时间管理、信号量、消息队列、内存管理、记录功能、软件定时器、协程等,可基本满足较小系统的需要。由于RTOS需占用一定的系统资源尤其是RAM。
Syslog详细介绍:日志管理和远程日志传输
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
06-03 3284
Syslog详细介绍:日志管理和远程日志传输
一种可自定义注解@SysLog
qq_46130027的博客
06-06 848
SysLog注解用于标记方法或类,以记录系统日志或操作日志。它可以与日志记录框架(如log4j、slf4j等)集成,用于在关键操作执行时自动记录日志。使用@SysLog注解可以简化日志记录代码的编写,并使代码更具有可读性和可维护性。
Python日志syslog使用原理详解
09-17
Python的日志模块提供了一个名为`syslog`的接口,用于将程序的日志信息发送到syslog服务。syslog是一种在多用户操作系统中广泛使用的日志系统,它可以将来自不同应用程序的日志消息集中管理。在Python中使用`syslog`...
各设备syslog配置手册
08-20
syslog 配置方法详解 Syslog 是一种常见的日志记录协议,用于收集和管理网络设备的日志信息。在网络设备中,syslog 配置是非常重要的,因为它可以帮助网络管理员实时监控网络设备的状态,及时发现和解决网络问题。...
Cacti插件Syslog配置详解
03-31
cacti中syslog插件,是通过rsyslogsyslog-ng与mysql的交互,将日志存放到mysql数据库中,cacti中的syslog插件从mysql中检索查看日志数据。因此,首先要配置一台rsyslog与mysql的日志中心服务器来接收客户机的日志;...
Syslog日志高效解析和异常检测
09-01
Syslog日志高效解析和异常检测,一篇论文,供参考
syslog()用法
weixin_34399060的博客
01-08 1903
#include &lt;stdio.h&gt;#include &lt;stdlib.h&gt;#include &lt;syslog.h&gt;#include &lt;fcntl.h&gt;int main(void){ int fd; char filename[] = "/root/wenhao"; /* file is not exist */ if (...
syslog 详细解释及编程接口
RTC hacker
11-22 2729
<br />Syslog<br /><br />Syslog已被许多日志函数采纳,它用在许多保护措施中——任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。<br />Syslog设备依据两个重要的文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件,习惯上,多数syslog信息被写到/var/adm或/var/log目录下的信息文件中(messages.*
syslogd 详解一:syslogd 架构和源码剖析
热门推荐
私房菜
04-08 1万+
syslogd 是busybox中用来收集系统日志(不同的类型,如kernel,user层)的一个守护进程,而busybox大家都比较熟悉,为嵌入式 开发提供了一个相对完整的运行环境。一般syslogd 在编译后生成于/bin/下 或/sbin 下。不同的进程(client)都可以将log 输送给syslogd(server),由syslogd 集中收集。client 里面特殊的接口、特殊格式进行log 输送,下面会详细说明。1. syslogd。
SysLog简介和实现
CheerForU
03-08 2176
什么是SysLog syslog协议属于一种主从式协议:syslog发送端会传送出一个小的文字讯息(小于1024字节)到syslog接收端。接收端通常名为“syslogd”、“syslog daemon”或syslog服务器。系统日志讯息可以被以UDP协议及╱或TCP协议来传送。 Syslog 常被称为系统日志或系统记录,是一种用来在互联网协议(TCP/IP)的网络中传递记录档讯息的标准。这个...
Syslog在网络管理中的应用
千里之行,始于足下
09-30 4138
Syslog在网络管理中的应用  摘要 Syslog是一种工业标准的协议,可用来记录设备的日志。在UNIX系统,路由器、交换机等网络设备中,系统日志(System Log)记录系统中任何时间发生的大小事件。管理者可以通过查看系统记录,随时掌握系统状况。UNIX的系统日志是
ASE Can't allocate space for object 'syslogs' in database 'WEN' because 'logsegment' segment is full
wengyupeng 蜗牛一步一步向前。。。
06-23 2074
1、问题:  server  Can't allocate space for object 'syslogs' in database 'WEN' because 'logsegment' segment is full/has no free extents. If you ran out of space in syslogs, dump the transaction log. 
python syslog.syslog
11-30
Python的syslog模块提供了一个简单的接口来将日志消息发送到系统日志服务,例如rsyslog。使用syslog模块,可以将日志消息发送到本地系统日志服务或远程日志服务器。以下是一个简单的示例,演示如何使用syslog模块将日志消息发送到本地系统日志服务: ```python import syslog # 打开系统日志 syslog.openlog(ident='myapp', logoption=syslog.LOG_PID, facility=syslog.LOG_LOCAL0) # 发送日志消息 syslog.syslog(syslog.LOG_INFO, 'This is a test message') # 关闭系统日志 syslog.closelog() ``` 在上面的示例中,我们首先使用openlog()函数打开系统日志,并指定了一个标识符(ident)、日志选项(logoption)和设施(facility)。然后,我们使用syslog()函数将日志消息发送到系统日志服务。最后,我们使用closelog()函数关闭系统日志。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值