Linux上的日志系统:syslog

日志系统记录了系统每天发生的各种各样的事情,用户可以通过它来检查发生错误的原因,或者寻找受到外来攻击时外来人员留下来的痕迹。日志的主要功能是审计和检测。它还可以实时地监控系统的状态、检测和追踪入侵者。

根据信息详细程序的不同可以把日志分级别,就叫日志级别

产生日志的子系统:facility,设施。这些子系统彼此之间既有联系或者又没有联系。定义哪个子系统所产生的信息,以及级别,存储位置。

syslog服务有两个进程:syslogd和klogd 

syslogd:系统,专门负责记录非内核的其他设施所产生的日志

klogd:内核,专门负责记录内核产生的日志信息

内核所产生的信息具体位置在/var/log/demsg;其命令dmesg就是查看其中的内容的,也可以用cat /var/log/demsg 直接打开其文件进行查看。

我们的系统控制权从内核转交给init之后所产生的信息都有syslogd记录

/sbin/init  所产生的信息位置:

/var/log/message:系统标准错误日志信息;非内核产生引导信息;各子系统产生的信息;

/var/log/maillog:邮件系统产生的日志信息

/var/log/secure:与安全相关的日志信息,不允许随便查看,其权限是600的

日志需要滚动:日志文件不能过大,太大了不利于查看,管理起来也不方便,所以日志就要滚动,分为几个小的文件便于管理。也可以叫日志切割,可以根据大小、时间等进行切割。

logrotate负责日志切割

linux系统上有一个专门完成任务计划,来完成日志滚动的,就是/etc/cron.daily/logrotate 脚本,此脚本能实现每天滚动一次。脚本内容如下:

 

Linux上的日志系统:syslog_syslog

此脚本的配置文件在/etc/logrotate.conf 内容如下图:

 

Linux上的日志系统:syslog_syslog_02

/etc/logrotate.d 目录下有许多定义每个子系统滚动日志机制的,如下图:

 

Linux上的日志系统:syslog_syslog_03

syslog的配置文件是:/etc/syslog.conf

 

Linux上的日志系统:syslog_syslog_04

配置文件定义格式为: facility.priority  action  即谁产生的日志.哪个级别产生的日志  产生的日志怎么办(如记录文件中)

 facility,可以理解为日志的来源或设备目前常用的facility有以下几种: 

    auth       # 认证相关的 

    authpriv   # 权限,授权相关的 

    cron       # 任务计划相关的 

    daemon     # 守护进程相关的 

    kern       # 内核相关的 

    lpr       # 打印相关的 

    mail      # 邮件相关的 

    mark      # 标记相关的 

    news      # 新闻相关的 

    security  # 安全相关的,与auth 类似  

    syslog   # syslog自己的 

    user         # 用户相关的 

    uucp         # unix to unix cp 相关的 

    local0 到 local7  # 用户自定义使用 

    *         # *表示所有的facility 

 

 priority(log level)日志的级别,一般有以下几种级别(从低到高) 级别越低产生的信息越详细

    debug           # 程序或系统的调试信息 

    info            # 一般信息

    notice          # 不影响正常功能,需要注意的消息 

    warning/warn    # 可能影响系统功能,需要提醒用户的重要事件 

    err/error       # 错误信息 

    crit            # 比较严重的 

    alert           # 必须马上处理的 

    emerg/panic     # 会导致系统不可用的 

    *               # 表示所有的日志级别 

    none            # 跟* 相反,表示啥也没有 

     

 action(动作)日志记录的位置 

    系统上的绝对路径    # 普通文件 如: /var/log/xxx 

    |                   # 管道  通过管道送给其他的命令处理 

    终端                # 终端   如:/dev/console 

    @HOST               # 远程主机 如: @10.0.0.1      

    用户                # 系统用户 如: root 

    *                   # 登录到系统上的所有用户,一般emerg级别的日志是这样定义的 

定义格式例子: 

mail.info   /var/log/mail.log   # 表示将mail相关的,级别为info及info以上级别的信息记录到/var/log/mail.log文件中 

auth.=info  @10.0.0.1         # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去,前提是10.0.0.1要能接收其他主机发来的日志信息 

  

    user.!=error                  # 表示记录user相关的,不包括error级别的信息 

user.!error                   # 与user.error相反 

*.info                        # 表示记录所有的日志信息的info级别 

mail.*                        # 表示记录mail相关的所有级别的信息 

*.*                           # 记录所有日志信息的所有级别

cron.info;mail.info           # 多个日志来源可以用";" 隔开 

cron,mail.info                # 与cron.info;mail.info 是一个意思 

mail.*;mail.!=info            # 表示记录mail相关的所有级别的信息,但是不包括info级别的 

如自己想定义日志格式可以编辑/etc/syslog.conf里面的内容,编辑之后要重新启动服务(service syslog restart)也可以用service syslog reload 不用重启就能重新读取其配置文件并让其生效。一般情况下不建议重启服务。