转载原文:http://bbs.ylmf.net/forum.php?mod=viewthread&tid=1264854

配置linux syslog日志服务器

配 置linux syslog日志服务器 目前,linux依旧使用syslogd作为日志监控进程,而在主流的linux发行版中依旧使用syslog这个比较老的日志服务器套件。对 syslog进行必要的配置能减少很多麻烦,并且可更有效的从系统日志监控到系统的状态。理解并完善一个syslog的配置,对于系统管理员来说显得尤为 重要。
一、配置文件
以红旗DC Server 5.0为例,默认的日志服务器就是sysklog套件:# rpm -qa|grep sysklogd
sysklogd-1.4.1-26_EL
其主要的配置文件有两个:
/etc/sysconfig/syslog这里定义syslog服务启动时可加入的参数。
/etc/syslog.conf这个是syslog服务的主要配置文件,根据定义的规则导向日志信息。

二、设置主配置文件
/etc/syslog.conf根据如下的格式定义规则:
facility.level action
设备.优先级 动作facility.level 字段也被称为seletor(选择条件),选择条件和动作之间用空格或tab分割开。
#号开头的是注释,空白行会自动跳过。

1、facility
facility定义日志消息的范围,其可使用的key有:auth -由 pam_pwdb 报告的认证活动。
authpriv -包括特权信息如用户名在内的认证活动
cron -与 cron 和 at 有关的计划任务信息。
daemon -与 inetd 守护进程有关的后台进程信息。
kern -内核信息,首先通过 klogd 传递。
lpr -与打印服务有关的信息。
mail -与电子邮件有关的信息
mark - syslog内部功能用于生成时间戳
news -来自新闻服务器的信息
syslog -由 syslog 生成的信息
user -由用户程序生成的信息
uucp -由 uucp 生成的信息
local0-local7 -与自定义程序使用
* 通配符代表除了 mark 以外的所有功能除mark为内部使用外,还有security为一个旧的key定义,等同于auth,已经不再建议使用。

2、level级别
level定义消息的紧急程度。按严重程度由高到低顺序排列为:emerg -该系统不可用,等同panic
alert -需要立即被修改的条件
crit -阻止某些工具或子系统功能实现的错误条件
err -阻止工具或某些子系统部分功能实现的错误条件,等同error
warning -预警信息,等同warn
notice -具有重要性的普通条件
info -提供信息的消息
debug -不包含函数条件或问题的其他信息
none -没有重要级,通常用于排错
* 所有级别,除了none其中,panic、error、warn均为旧的标识符,不再建议使用。

在定义level级别的时候,需要注意两点:1)优先级是由应用程序在编程的时候已经决定的,除非修改源码再编译,否则不能改变消息的优先级;
2)低的优先级包含高优先级,例如,为某个应用程序定义info的日志导向,则涵盖notice、warning、err、crit、alert、emerg等消息。(除非使用=号定义)3、selector选择条件
通过小数点符号“.”把facility和level连接在一起则成为selector(选择条件)。
可以使用分号“;”同时定义多个选择条件。也支持三个修饰符:* - 所有日志信息
= 等于,即仅包含本优先级的日志信息
! = 不等于,本优先级日志信息除外
4、action动作
由前面选择条件定义的日志信息,可执行下面的动作:file-指定日志文件的绝对路径
terminal 或 print -发送到串行或并行设备标志符,例如/dev/ttyS2
@host -远程的日志服务器
username -发送信息本机的指定用户信息窗口中,但该用户必须已经登陆到系统中
named pipe -发送到预先使用 mkfifo 命令来创建的 FIFO 文件的绝对路径※注意,不能通过“|/var/xxx.sh”方式导向日志到其他脚本中处理。

5、举例
例如:*.info;mail.none;news.none;authpriv.none;cron.none              /var/log/messages
#把除邮件、新闻组、授权信息、计划任务等外的所有通知性消息都写入messages文件中。
mail,news.=info              /var/adm/info
#把邮件、新闻组中仅通知性消息写入info文件,其他信息不写入。
mail.*;mail.!=info           /var/adm/mail
#把邮件的除通知性消息外都写入mail文件中。
mail.=info                /dev/tty12
#仅把邮件的通知性消息发送到tty12终端设备
*.alert                   root,joey
#如果root和joey用户已经登陆到系统,则把所有紧急信息通知他们
*.*                          @finlandia
#把所有信息都导向到finlandia主机(通过/etc/hosts或dns解析其IP地址)
※注意:每条消息均会经过所有规则的,并不是唯一匹配的。
也就是说,假设mail.=info信息通过上面范例中定义的规则时,/var/adm/info、/var/adm/mail、/dev/tty12,甚至finalandia主机都会收到相同的信息。
这样看上去比较烦琐,但可以带来的好处就是保证了信息的完整性,可供不同地方进行分析。

6、测试
部分情况下,上述规的实际执行结果和定义的预想结果可能会有出入。这时,可使用logger程序辅助测试:
# logger -p user.notice 'Hello World!'

日志显示:
Nov 12 13:40:04 dc5test root: Hello World!
其表示意思如下:
第一列:日志产生时间
第二列:产生此日志的主机名称
第三列:产生此日志的应用程序或用户名称
第四列:日志信息7、自定义日志级别
正如前面所说的,应用程序的日志级别是由应用程序所决定的。部分应用程序可通过配置,定义其日志级别。
例如,/etc/ssh/sshd_config文件中就有:#
SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
把sshd的日志定义在authpriv.info级别。
配合syslog.conf中的:
authpriv.* /var/log/secure
则日志文件被写入/var/log/secure文件中。

我们修改为:SyslogFacility local0
配合在syslog.conf中增加:
local0.* /var/log/sshd.log
保存后,重新启动sshd或syslog服务,则以后sshd服务的所有日志都会单独的放到 sshd.log文件中了。

三、设置服务参数
默认情况下,syslog进程是不能接受其他日志服务器发过来的消息的。而通过修改其启动参数,可实现日志的大集中功能。
修改/etc/sysconfig/syslog文件:
-r : 打开接受外来日志消息的功能,其监控514 UDP端口;
-x : 关闭自动解析对方日志服务器的FQDN信息,这能避免DNS不完整所带来的麻烦;
-m : 修改syslog的内部mark消息写入间隔时间(0为关闭),例如240为每隔240分钟写入一次“--MARK--”信息;
-h :默认情况下,syslog不会发送从远端接受过来的消息到其他主机,而使用该选项,则把该开关打开,所有接受到的信息都可根据syslog.conf中定义的@主机转发过去。
通过man syslogd可获得更详细的帮助,
而具体到实际配置文件改为:
SYSLOGD_OPTIONS="-r-x-m 0"
保存后,重启服务即可:
# service syslog restart
此时,客户机只要通过修改syslog.conf,在最后定义动作为@主机或IP,即可发送日志信息到本服务器中。
*.*                               @192.168.22.100
这地方也可以用 @name 不过这个name要在 /etc/hosts 中指定ip地址

(在构建集中的日志服务器时,请务必配合ntp时间服务,以保证信息的有效性,避免不必要的麻烦)
另外,/etc/sysconfig/syslog配置文件中,还定义有klogd服务的启动参数:
KLOGD_OPTIONS="-x"详细帮助,请参考man 8 klogd或man klogd。

 

 

下面是我从网上找到的“logrotate配置与理解”,已经非常详细了。

转载原文:http://www.examda.com/linux/fudao/20100917/112231471.html

对于Linux 的系统安全来说,日志文件是极其重要的工具。系统管理员可以使用logrotate 程序用来管理系统中的最新的事件,对于Linux 的系统安全来说,日志文件是极其重要的工具。系统管理员可以使用logrotate 程序用来管理系统中的最新的事件。logrotate 还可以用来备份日志文件,本篇将通过以下几部分来介绍

  日志文件的管理:

  1logrotate 配置

  2、缺省配置 logrotate

  3、使用include 选项读取其他配置文件

  4、使用include 选项覆盖缺省配置

  5、为指定的文件配置转储参数

  一、logrotate 配置

  logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除,并创建新的日志文件,我们把它叫做转储。我们可以根据日志文件的大小,也可以根据其天数来转储,这个过程一般通过 cron 程序来执行。

  logrotate 程序还可以用于压缩日志文件,以及发送日志到指定的E-mail

  logrotate 的配置文件是 /etc/logrotate.conf。主要参数如下表:

  参数 功能

  compress 通过gzip 压缩转储以后的日志

  nocompress 不需要压缩时,用这个参数

  copytruncate 用于还在打开中的日志文件,把当前日志备份并截断

  nocopytruncate 备份日志文件但是不截断

  create mode owner group 转储文件,使用指定的文件模式创建新的日志文件

  nocreate 不建立新的日志文件

  delaycompress compress 一起使用时,转储的日志文件到下一次转储时才压缩

  nodelaycompress 覆盖 delaycompress 选项,转储同时压缩。

  errors address 专储时的错误信息发送到指定的Email 地址

  ifempty 即使是空文件也转储,这个是 logrotate 的缺省选项。

  notifempty 如果是空文件的话,不转储

  mail address 把转储的日志文件发送到指定的E-mail 地址

  nomail 转储时不发送日志文件

  olddir directory 转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统

  noolddir 转储后的日志文件和当前日志文件放在同一个目录下

  prerotate/endscript 在转储以前需要执行的命令可以放入这个对,这两个关键字必须单独成行

  postrotate/endscript 在转储以后需要执行的命令可以放入这个对,这两个关键字必须单独成行

  daily 指定转储周期为每天

  weekly 指定转储周期为每周

  monthly 指定转储周期为每月

  rotate count 指定日志文件删除之前转储的次数,0 指没有备份,5 指保留5 个备份

  tabootext [+] list logrotate 不转储指定扩展名的文件,缺省的扩展名是:.rpm-orig, .rpmsave, v, ~

  size size 当日志文件到达指定的大小时才转储,Size 可以指定 bytes (缺省)以及KB (sizek)或者MB (sizem).

另: Linux帮助手册中描述:

  size size

  Log files are rotated when they grow bigger then size bytes. If size is followed by M, the size if assumed to be in megabytes.

  If the k is used, the size is in kilobytes. So size 100, size 100k, and size 100M are all valid.

  当日志文件 >= size 的时候就转储。 以下为合法格式:(其他格式的单位大小写没有试过)

  size = 5 size 5 >= 5 个字节就转储)

  size = 100k size 100k

  size = 100M size 100M

  二、缺省配置 logrotate

  logrotate 缺省的配置募??/etc/logrotate.conf

  Red Hat Linux 缺省安装的文件内容是:

  # see "man logrotate" for details

  # rotate log files weekly

  weekly

  # keep 4 weeks worth of backlogs

  rotate 4

  # send errors to root

  errors root

  # create new (empty) log files after rotating old ones

  create

  # uncomment this if you want your log files compressed

  #compress

  1

  # RPM packages drop log rotation information into this directory

  include /etc/logrotate.d

  # no packages own lastlog or wtmp --we'll rotate them here

  /var/log/wtmp {

  monthly

  create 0664 root utmp

  rotate 1

  }

  /var/log/lastlog {

  monthly

  rotate 1

  }

  # system-specific logs may be configured here

  缺省的配置一般放在logrotate.conf 文件的最开始处,影响整个系统。在本例中就是前面12行。

  第三行weekly 指定所有的日志文件每周转储一次。

  第五行 rotate 4 指定转储文件的保留 4份。

  第七行 errors root 指定错误信息发送给root

  第九行create 指定 logrotate 自动建立新的日志文件,新的日志文件具有和

  原来的文件一样的权限。

  第11 #compress 指定不压缩转储文件,如果需要压缩,去掉注释就可以了。

  三、使用include 选项读取其他配置文件

  include 选项允许系统管理员把分散到几个文件的转储信息,集中到一个

  主要的配置文件。当 logrotate logrotate.conf 读到include 选项时,会从指定文件读入配置信息,就好像他们已经在/etc/logrotate.conf 中一样。

  第 13 include /etc/logrotate.d 告诉 logrotate 读入存放在/etc/logrotate.d 目录中的日志转储参数,当系统中安装了RPM 软件包时,使用include 选项十分有用。RPM 软件包的日志转储参数一般存放在/etc/logrotate.d 目录。

  include 选项十分重要,一些应用把日志转储参数存放在 /etc/logrotate.d

  典型的应用有:apache, linuxconf, samba, cron 以及syslog

  这样,系统管理员只要管理一个 /etc/logrotate.conf 文件就可以了。

 四、使用include 选项覆盖缺省配置

  当 /etc/logrotate.conf 读入文件时,include 指定的文件中的转储参数将覆盖缺省的参数,如下例:

  # linuxconf 的参数

  /var/log/htmlaccess.log

  { errors jim

  notifempty

  nocompress

  weekly

  prerotate

  /usr/bin/chattr -a /var/log/htmlaccess.log

  endscript

  postrotate

  /usr/bin/chattr +a /var/log/htmlaccess.log

  endscript

  }

  /var/log/netconf.log

  { nocompress

  monthly

  }

  在这个例子中,当 /etc/logrotate.d/linuxconf 文件被读入时,下面的参数将覆盖/etc/logrotate.conf中缺省的参数。

  Notifempty

  errors jim

  五、为指定的文件配置转储参数

  经常需要为指定文件配置参数,一个常见的例子就是每月转储/var/log/wtmp。为特定文件而使用的参数格式是:

  # 注释

  /full/path/to/file

  {

  option(s)

  }

  下面的例子就是每月转储 /var/log/wtmp 一次:

  #Use logrotate to rotate wtmp

  /var/log/wtmp

  {

  monthly

  rotate 1

  }

 六、其他需要注意的问题

  1、尽管花括号的开头可以和其他文本放在同一行上,但是结尾的花括号必须单独成行。

  2、使用 prerotate postrotate 选项

  下面的例子是典型的脚本 /etc/logrotate.d/syslog,这个脚本只是对

  /var/log/messages 有效。

  /var/log/messages

  {

  prerotate

  /usr/bin/chattr -a /var/log/messages

  endscript

  postrotate

  /usr/bin/kill -HUP syslogd

  /usr/bin/chattr +a /var/log/messages

  endscript

  }

  第一行指定脚本对 花括号外的/var/log/messages 有效

  prerotate 命令指定转储以前的动作/usr/bin/chattr -a 去掉/var/log/messages文件的只追加属性 endscript 结束 prerotate 部分的脚本postrotate 指定转储后的动作

  /usr/bin/killall -HUP syslogd

  用来重新初始化系统日志守护程序 syslogd

  /usr/bin/chattr +a /var/log/messages

  重新为 /var/log/messages 文件指定只追加属性,这样防治程序员或用户覆盖此文件。

  最后的 endscript 用于结束 postrotate 部分的脚本

  3logrotate 的运行分为三步:

  判断系统的日志文件,建立转储计划以及参数,通过cron daemon 运行下面的代码是 Red Hat Linux 缺省的crontab 来每天运行logrotate

  #/etc/cron.daily/logrotate

  #! /bin/sh

  /usr/sbin/logrotate /etc/logrotate.conf

  4/var/log/messages 不能产生的原因:

  这种情况很少见,但是如果你把/etc/services 中的 514/UDP 端口关掉的话,这个文件就不能产生了。