syslog配置

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

Syslog 简介Syslog是一个通过IP网络允许一台机器发送事件通知信息给事件收集者（Syslog服务器或者Syslog Daemon）的协议。

换言之，就是一台机器或者设备能够被配置，使之产生Syslog 信息并且发送到一台特定的Syslog服务器/Daemon。

Syslog信息建立在UDP之上，一般Syslog信息在UDP514端口上被收集，Syslog信息的长度不大于1024字节。

由于基于UDP协议，所以当如果因为网络拥塞等情况导致信息包丢失，那么信息将不再重发，而是简单的丢失掉。

Syslog协议是在Unix系统上被创建出来的。

使用Syslog，一个远程Unix主机能够很好的跟踪另一台Unix主机。

任何应用程序都能够产生Syslog信息。

格式Syslog包的格式:一个Syslog信息主要有三部分组成。

分别是PRI，HEADER，MSG。

日志信息格式如下：<优先级>时间戳主机名模块名/级别/信息摘要:内容<priority>timestamp sysname module/level/digest:content以上格式中的尖括号（< >）、空格、斜杠（/）、冒号（:）是有效的、必须的。

输出到日志主机的日志格式的例子如下：<189>Jun 7 05:22:03 2003 Quidway IFNET/6/UPDOWN:Line protocol on interface Ethernet0/0/0, changed state to UP以下对每一个字段做详细说明。

1.优先级是优先级的意思，它由两部分组成，共一个字节，前3位是严重度（Severity），后5位是表示Facility。

优先级的计算按如下公式：facility*8+severity-1。

a) 严重度b) Facility2。

Header包括两部分：1>时间戳，它是指信息生成的日期和时间。

业务聚合平台SYSLOG部署方案一、方案部署背景该项目涉及设备数量包括服务器75台、网络交换机4台、光纤交换机2台、存储1台。

设备的日志信息是查看设备运营情况的最重要渠道。

若每台的去监控及查看，将带来巨大的工作量。

搭建一台syslog能有效缓解该问题。

二、实施目的1．服务器日志集中存放到日志服务器和MySQL数据库中；2．每天发送一封E-MAIL, 报告异常日志条目；3．实时报告异常系统事件；4．WEB界面查询日志；三、硬件环境：CPU:4*4内存：16G磁盘：100G四、系统环境：操作系统：RHEL5.5 64bitIP：192.168.146.30五、实施步骤1、安装所属包：syslog20111106.tar.gzsyslog20111106.tar.gz2、配置yum服务器(省略)3、搭建LAMP环境(省略)4、安装syslog-ng#rpm -ivh libdb*#rpm -ivh libevtlog0-0.2.8-1.i386.rpm#rpm -ivh syslog-ng-2.1.3-1.i386.rpm#rpm -ivh msttcorefonts-2.0-1.noarch.rpm# mkdir -p /usr/share/fonts/truetype/msttcorefonts/#cp /usr/share/fonts/msttcorefonts/verdana* /usr/share/fonts/truetype/msttcorefonts/.5、配置syslog.conf# vi /etc/syslog-ng/syslog-ng.confsyslog-ng.conf6、重启syslog-ng# /etc/rc.d/init.d/syslog-ng restart7、安装php-syslog-ng#yum install php-gd php-mysql php-pdo#tar zxvf php-syslog-ng-2.9.8.tgz –C /var/www/html/.#cd /var/www/html/ php-syslog-ng#chown –R apache:apache html#cd scripts替换脚本中的文件实际路径（方法：perl -i -pe 's/\/www\/php-syslog-ng/\<newpath>/g' *）#perl -i -pe 's/\/www\/php-syslog-ng/\/var\/www\/html/g' *期间的报错可以忽略8、创建数据库及用户，脚本如下(该步骤可不操作)：vi syslog-ng.sqlCREATE DATABASE syslog;USE syslog;CREATE TABLE logs (host varchar(32) default NULL,facility varchar(10) default NULL,priority varchar(10) default NULL,level varchar(10) default NULL,tag varchar(10) default NULL,date date default NULL,time time default NULL,program varchar(15) default NULL,msg text,seq int(10) unsigned NOT NULL auto_increment,PRIMARY KEY (seq),KEY host (host),KEY seq (seq),KEY program (program),KEY time (time),KEY date (date),KEY priority (priority),KEY facility (facility)) TYPE=MyISAM;CREATE USER syslogadmin identified BY ;syslogadmin;GRANT ALL ON syslog.* TO 'syslogadmin'@'%';UPDATE user SET password=PASSWORD(‘root’) WHERE user=’root’;FLUSH PRIVILEGES;9、编辑/etc/syslog-ng/syslog-ng.conf文件，添加以下内容destination d_mysql {program("/usr/bin/mysql -usyslogadmin -psyslogadmin syslog"template("INSERT INTO logs (host, facility, priority, level, tag, datetime, program, msg)VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY$HOUR:$MIN:$SEC', '$PROGRAM', '$MSG' );\n")template-escape(yes));};log {source(s_remote);destination(d_mysql);};10、修改/etc/pho.ini文件将display_errors = Off更改为display_errors = On ;将magic_quotes_gpc = Off更改为magic_quotes_gpc = On ;将memory_limit = 8M更改为memory_limit = 256M ;将max_execution_time = 30更改为max_execution_time = 9011、修改/etc/http/http.conf文件将DocumentRoot "/var/www/html"修改为DocumentRoot "/var/www/html/php-syslog-ng/html"将#ServerName :80修改为ServerName 192.168.146.30:8012、重启http服务13、配置php-syslog-ng在浏览器输入http://192.168.146.30/htmlScreen 1: 点击next开始安装；Screen 2: 选择接受协议后点击next继续；Screen 3: 输入数据库ROOT用户密码，其它可以保持默认(你可以不选择"install sample data" box) ，点击Next 继续；点击ok继续...Screen 4:输入站点名称后点击next继续；Screen 5: 输入email地址和admin的密码外，其它可以保持默认，点击next继续；Screen 6: 如果选择安装用于收集Cisco ERROR TABLE的数据，将会弹出如下安装对话框(可选)点击Install CEMDB继续... (如果点击install CEMDB不工作，请使用Firefox进行安装。

Syslog配置及使用简介目录Syslog配置及使用简介 (1)1.Syslog简介 (2)2.Syslog协议 (2)2.1. syslog体系结构 (2)2.2. syslog包格式 (2)3.Syslog配置 (3)3.1 概览 (4)3.2选择符 (4)3.3 动作 (4)4.C语言中的syslog (5)4.1 openlog (5)4.2 syslog (5)4.3 closelog (6)4.4 setlogmask (6)4.5例子 (6)5.参考文献 (7)1.Syslog简介Syslog常被称作系统日志，在80年代作为sendmail的一部分而发布，由于其可用性，现在已成为用来在internet中传递日志信息的事实上的标准。

这些传递日志的程序或数据库同时也被称作syslog。

Syslog是主从式的协议，syslog发送端发送一些小的文字信息到syslog 接收端，接收端根据配置文件把收到的信息进行存储或者处理，或者再次进行转发。

Syslog通常被用作系统信息管理，由于其已在大多数系统上实现，所以它可以把不同类型主机上的信息集中整合到一起。

但是它仍然有许多缺陷，表现在下面几个方面：Syslog 的传输是通过UDP或者TCP传输，安全性并不可靠。

一般可以通过ssl加密壳来完成加密；syslog的实时性不好，只能通过更改配置加以改进。

所以syslog主要用在安全性要求不高，实时性不强的地方。

2.Syslog协议syslog使用UDP协议作为它的传输层协议，其默认使用UDP端口514。

2.1. syslog体系结构syslog模糊了发送方、接收方，设备、中继以及收集器的区别，一台设备可以同时是某种日志信息的中继、也可以是另外某种信息的收集器，同时可以作为发送者发送日志：●发送方发送日志信息至某个主机，并不知道这台主机会如何处理这些日志。

●发送方可以通过配置，把同一条日志同时发送给多个接收者。

刘哥,你好：
1.地市运行的华为数据设备开启SNMP服务命令。

开启命令：
1，开启snmp，snmp-agent sys-info version all
2，开启trap，
snmp trap enable
snmp-agent target-host trap address udp-domain 172.30.245.5 params securityname public v2c
3，配置snmp口令：
snmp-agent community read public
snmp-agent community write private
4，配置SNMP维护信息（可选）。

参考手册如下：
2.华为数据设备开启LLDP服务：
开启命令：
1，配置lldp trap enable（已配置）
2，在SYS模式下运行“lldp enable”命令开启lldp服务（必须开启）3，配置管理地址（不用配置）。

4，并通过“disp lldp local”、“disp lldp nei”等命令确认开启信息。

参考手册如下：
3.将地市华为数据设备的syslog和trap指向各地市服务器。

华为Syslog配置：
info-center source default channel 2 log level warning info-center loghost 172.30.245.5
info-center loghost 172.16.9.2
4.数据设备的Qos服务开启命令。

开启Qos服务命令：不用专门开启。

1.安装系统a)安装要求i.PC配置：CPU：Intel P E2160（1.8GHz）以上内存：1G以上硬盘：80G以上虚拟机要求：Kernel：linux 2.6内存：512以上硬盘：40G以上b)安装系统i.Linux syslog server要求用centos 5.5下载地址：ed2k://|file|[《CentOS.5.5.》32bit[光盘镜像]].CentOS-5.5-i386-bin-DVD.iso|4185118720|a1ce64b6d36d945f562cb1250d8d665f|h=fnfai2pqdbdxmz5i5wshkaj22ttscbkg|/c)配置网络i.点击桌面上方的系统→管理→网络，配置eth0和DNSwork Abapter修改为桥接模式2.安装工具a)安装GCC和make[root@FDWIN ~]# yum install gcc makeb)安装LAMP平台[root@FDWIN ~]# yum install php-mysql mysql mysql-server php-snmp php-pdoperl-DBDMySQL httpd php –y[root@FDWIN ~]# service mysqld start[root@FDWIN ~]# chkconfig mysqld on[root@FDWIN ~]#service httpd start[root@FDWIN ~]#chkconfig httpd on[root@FDWIN ~]# mysqladmin -uroot password '000000'[root@FDWIN ~]#vim /var/www/html/index.php添加：<?php$link=mysql_connect("localhost","root","000000");if(!$link) echo "FAILD!";else echo "OK!";?>然后网页访问下出现OK说明没问题了。

SNMP & SYSLOG配置说明SNMP添加Wind owsWindows 系统默认不开启SNMP 功能。

1. 安装前准备，SNMP 安装需要操作系统安装光盘，找到相对应的安装盘，插入光驱准备安装。

2. 点击开始---设置---控制面板---添加或删除程序---添加/删除Windows 组件3. 选择“管理和监视工具”见图，点击详细信息4. 选中“简单网络管理协议”5. 点击“确定”按钮，开始安装6. 安装结束后，点击“完成”，SNMP 服务安装成功，SNMP 安装成功后会在服务中看到SNMP service 的服务设置 SNMP 共同体名称1. 打开 Windows 的服务列表2. 选中 SNMP service 并查看其属性3. 选择“安全”选项卡，点击“添加”按钮，添加共同体名称。

4. 选择“接受来自任何主机的SNMP 数据包”。

5. 设置完成后，点击“确定”，设置完成。

6. 确认 SNMP service 服务为“已启动”状态。

LinuxCiscoCisco 路由器和交换机SNMP 的设置方法一样，如下：1. 必配：开启SNMPCisco>enable(如果一经登陆就是#模式，则说明您的帐号或者通道已经处于1‐15级的特权模式可直接进行第下步操作)Cisco#configure terminalCisco(config)#SNMPserver community CNS ro （配置SNMP 团体名为cns，ro 为读权限）Cisco(config)#SNMPserver community NI rw（配置SNMP 团体名为NI，rw 为写权限）Cisco(config)#exitCisco# copy run startup（保存命令，如保存不了请利用show process memory 命令查看内存是否已满。

）Cisco#exitCisco>exit2. 选配：开启SNMP TrapCisco>enable(如果一经登陆就是#模式，则说明您的帐号或者通道已经处于1‐15级的特权模式可直接进行第下步操作)Cisco#configure terminalCisco(config)#SNMPserver community ChinaNetwork ro （配置本路由器\交换机的只读字串ChinaNetwork）Cisco(config)#SNMPserver community ChinaNetwork rw （配置本路由器\交换机的读写字串ChinaNetwork）Cisco(config)#SNMPserver enable traps （允许设备将所有类型SNMP Trap 发送出去）Cisco(config)#SNMPserver host 1.1.1.1 traps trapcomm （指定设备SNMP Trap 的接收者为1.1.1.1，发送Trap 时采用trapcomm 作为字串）Cisco(config)#SNMPserver trapsource interfacetype fastethernet 0/0 （指定发送trap 信息的源IP 地址为fastethernet 0/0 接口的地址）Cisco# copy run startup （保存命令，如保存不了请利用show process memory 命令查看内存是否已满。

目录目录 (1)syslog 配置 (2)第一章类UNIX系统syslog配置 (2)一、syslog.conf文件配置说明 (2)二、Syslog 服务启停： (3)三、测试产生日志 (4)第二章Windows 平台syslog配置 (4)一、安装配置 (4)二、参数说明： (4)第三章网络设备syslog配置 (4)一、配置步骤 (4)二、检验结果 (5)syslog 配置第一章类UNIX系统syslog配置一、syslog.conf文件配置说明/etc/syslog.con f文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成，两者间用tab制表符进行分隔。

而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成，各保留字段间用分号分隔。

保留字段中的“类型”代表信息产生的源头，可以是：kern 由kernel产生的信息；user 由用户进程产生的信息。

对那些由程序或不在此列出的工具产生的信息，其缺省类型都是“user”;mail 邮件系统产生的信息；daemon 系统守护进程的信息，如in.ftpd、telnetd；auth 由login, su, gett y等进行身份认证时产生的信息；s yslog 由s yslogd自己内部产生的信息；lpr 行打印spooling系统的信息；news USENET 网络新闻系统的信息；uucp UUCP系统信息；cron cron和at工具信息；local0-7 保留为local使用；mark syslogd内部产生的时间戳信息；* 除mark之外的所有其它类型（此符号不可用以代表所有级别）。

保留字段中的“级别”代表信息的重要性，可以是：emerg 紧急，处于Panic状态。

通常应广播到所有用户；alert 告警，当前状态必须立即进行纠正。

例如，系统数据库崩溃；crit 关键状态的警告。

例如，硬件故障；err 其它错误；warning 警告；notice 注意；非错误状态的报告，但应特别处理；info 通报信息；debug 调试程序时的信息；none 通常调试程序时用，指示带有none级别的类型产生的信息无需送出。

syslogserverconfigif的方法概述在计算机网络中，sy s lo g是一种系统日志记录机制，用于收集和存储系统的运行信息。

sy s lo g服务器是一台可以接收和处理来自各个网络设备发送的sy sl og消息的服务器。

本文将介绍sy sl og se rv erc o nf ig if的方法，以帮助读者配置sy sl og服务器。

步骤1：安装syslo g服务器软件在配置s ys lo g服务器之前，首先需要安装相应的sy sl og服务器软件。

常见的s ys lo g服务器软件包括r sy sl og、sy sl og-n g等。

下面以r s ys lo g为例，介绍安装过程：1.打开终端或控制台窗口。

2.输入以下命令安装r sy sl og软件：```s u do ap t-ge ti ns tal l rs ys lo g```3.等待安装过程完成。

步骤2：配置syslo g服务器安装完成后，需要对s ys lo g服务器进行配置，以便接收和处理s y sl og消息。

以下是配置s ys lo g服务器的步骤：1.打开rs ys l o g配置文件，路径为`/et c/r sy sl og.c on f`。

2.根据实际需求，编辑配置文件。

可以指定sy sl og服务器的监听端口、接收消息的规则等。

以下是一些常见配置选项的示例：-设置监听端口为514：```$M od Lo ad im ud p$U DP Se rv er Ru n514```-编写过滤规则，将特定设备的s ys lo g消息保存到指定文件中：```i f$f ro mh os t-ip=='192.168.1.1't hen/va r/lo g/de vi ce1.lo g```3.保存配置文件并关闭。

步骤3：重启syslo g服务器完成配置后，需要重启s ys lo g服务器以使配置生效。

syslog使用方法一、什么是syslogsyslog是一种系统日志记录协议，用于在计算机网络上发送、接收和存储系统日志消息。

它可以帮助系统管理员监控和分析系统运行状态，诊断和解决问题，以及进行安全审计。

syslog可以用于各种操作系统和设备，如Unix、Linux、Windows、路由器、交换机等。

二、syslog的基本原理syslog的基本原理是通过网络传输日志消息。

它由三个主要组件组成：发送方（syslog client）、接收方（syslog server）和日志消息（syslog message）。

1. 发送方（syslog client）：发送方负责收集系统日志消息并将其发送到接收方。

发送方可以是操作系统的日志服务，也可以是应用程序或设备的日志功能。

2. 接收方（syslog server）：接收方是用于接收和存储日志消息的服务器。

它通常由系统管理员设置并运行在网络中的一台服务器上。

接收方可以收集来自多个发送方的日志消息，并对其进行存储、过滤和分析。

3. 日志消息（syslog message）：日志消息是由发送方生成的系统日志。

它包含了记录的事件、时间戳、设备信息、日志级别等重要信息。

日志消息可以根据不同的设备和应用程序进行格式化。

三、syslog的配置和使用步骤1. 配置发送方（syslog client）：- 在发送方上找到并编辑syslog配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

- 添加或修改配置项以指定syslog服务器的IP地址和端口号。

例如：*.* @192.168.1.100:514。

- 保存配置文件并重启syslog服务，使配置生效。

2. 配置接收方（syslog server）：- 在接收方上安装syslog服务器软件，如rsyslog、syslog-ng 等。

- 打开syslog服务器的配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

syslog详解及配置远程发送⽇志和远程⽇志分类syslog详解及配置远程发送⽇志和远程⽇志分类1、⽇志协议syslog# 1.1、syslog简介 完善的⽇志分析系统应该能够通过多种协议（包括syslog等）进⾏⽇志采集并对⽇志分析，因此⽇志分析系统⾸先需要实现对多种⽇志协议的解析。

其次，需要对收集到的海量⽇志信息进⾏分析，再利⽤数据挖掘技术，发现隐藏再⽇志⾥⾯的安全问题。

Syslog再UNIX系统中应⽤⾮常⼴泛，它是⼀种标准协议，负责记录系统事件的⼀个后台程序，记录内容包括核⼼、系统程序的运⾏情况及所发⽣的事件。

Syslog协议使⽤UDP作为传输协议，通过514端⼝通信，Syslog使⽤syslogd后台进程，syslogd启动时读取配置⽂件/etc/syslog.conf，它将⽹络设备的⽇志发送到安装了syslog软件系统的⽇志服务器，Syslog⽇志服务器⾃动接收⽇志数据并写到指定的⽇志⽂件中。

# 1.2、syslog⽇志格式syslog标准协议如下图： Syslog消息并没有对最⼩长度有所定义，但报⽂的总长度必须在1024字节之内。

其中PRI部分必须有3个字符，以‘<’为起始符，然后紧跟⼀个数字，最后以‘>’结尾。

在括号内的数字被称为Priority（优先级），priority值由Facility和severity两个值计算得出，这两个值的级别和含义见表1-1和表1-2。

下⾯是⼀个例⼦：<30>Oct 1020:30:10 fedora auditd [1780]: The audit daemon is exiting▶“<30>”是PRI部分，即Priority（优先级），取值范围0~191。

▶“Oct 10 20:30:10 fedora”是HEADER（报头部分）。

▶“auditd [1780]: The audit daemon is exiting”是MSG（信息）部分。

Syslog配置及使用简介目录Syslog配置及使用简介 (1)1.Syslog简介 (2)2.Syslog协议 (2)2.1. syslog体系结构 (2)2.2. syslog包格式 (2)3.Syslog配置 (3)3.1 概览 (4)3.2选择符 (4)3.3 动作 (4)4.C语言中的syslog (5)4.1 openlog (5)4.2 syslog (5)4.3 closelog (6)4.4 setlogmask (6)4.5例子 (6)5.参考文献 (7)1.Syslog简介Syslog常被称作系统日志，在80年代作为sendmail的一部分而发布，由于其可用性，现在已成为用来在internet中传递日志信息的事实上的标准。

这些传递日志的程序或数据库同时也被称作syslog。

Syslog是主从式的协议，syslog发送端发送一些小的文字信息到syslog 接收端，接收端根据配置文件把收到的信息进行存储或者处理，或者再次进行转发。

Syslog通常被用作系统信息管理，由于其已在大多数系统上实现，所以它可以把不同类型主机上的信息集中整合到一起。

但是它仍然有许多缺陷，表现在下面几个方面：Syslog 的传输是通过UDP或者TCP传输，安全性并不可靠。

一般可以通过ssl加密壳来完成加密；syslog的实时性不好，只能通过更改配置加以改进。

所以syslog主要用在安全性要求不高，实时性不强的地方。

2.Syslog协议syslog使用UDP协议作为它的传输层协议，其默认使用UDP端口514。

2.1. syslog体系结构syslog模糊了发送方、接收方，设备、中继以及收集器的区别，一台设备可以同时是某种日志信息的中继、也可以是另外某种信息的收集器，同时可以作为发送者发送日志：●发送方发送日志信息至某个主机，并不知道这台主机会如何处理这些日志。

●发送方可以通过配置，把同一条日志同时发送给多个接收者。

一.Syslog系统日志应用概述syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf 文件。

程序，守护进程和内核提供了访问系统的日志信息。

因此，任何希望生成日志信息的程序都可以向syslog 接口呼叫生成该信息。

几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。

意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。

通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。

/etc/syslog.conf 文件通知syslogd 如何根据设备和信息重要级别来报告信息。

二.syslog配置其主要的配置文件有两个：/etc/sysconfig/syslog 这里定义syslog服务启动时可加入的参数。

/etc/syslog.conf 这个是syslog服务的主要配置文件，根据定义的规则导向日志信息。

2.1设置主配置文件/etc/syslog.conf根据如下的格式定义规则：facility.level action设备.优先级动作facility.level 字段也被称为seletor（选择条件），选择条件和动作之间用空格或tab 分割开。

2.1.1 facilityfacility定义日志消息的范围，其可使用的key有：auth －由pam_pwdb 报告的认证活动。

authpriv －包括特权信息如用户名在内的认证活动cron －与cron 和at 有关的计划任务信息。

daemon －与inetd 守护进程有关的后台进程信息。

syslog与syslog服务器的配置服务器socketunix终端cronlinux1. 前言syslog是UNIX系统中提供的一种日志记录方法(RFC3164)，syslog本身是一个服务器，程序中凡是使用syslog记录的信息都会发送到该服务器，服务器根据配置决定此信息是否记录，是记录到磁盘文件还是其他地方，这样使系统内所有应用程序都能以统一的方式记录日志，为系统日志的统一审计提供了方便。

2. 日志格式syslog记录的日志格式为：月日时:分:秒主机名标志日志内容3. syslog编程为记录日志，通常用到3个函数，openlog(3)，syslog(3)和closelog(3)，openlog(3)和closelog(3)不是必须的，没有openlog(3)的话将用系统缺省的方式记录日志。

#include <syslog.h>void openlog( char *ident, int option, int facility)void syslog( int priority, char *format, ...)void closelog( void )openlog(3)有三个参数，第一个参数是标志字符串，也就是日志中的第5个字段，不设的话缺省取程序名称；第二个参数是选项，是下面一些标志位的组合：LOG_CONS：日志信息在写给日志服务器的同时打印到终端LOG_NDELAY：立即记录日志LOG_PERROR：把日志信息也输出到标准错误流LOG_PID：在标志字段中记录进程的PID值第三个参数是说明日志类型的，定义了以下类型：syslog(3)函数主要的是第一个参数priority，后面那些参数就是和printf(3)函数用法一样了，priority值表示该条日志的级别，日志级别分8级，由高到低的顺序为：如果openlog(3)时没有指定facility，是可以把facility的值或到priority中的，如(LOG_AUTH | LOG_INFO)，已经设置了就可以不用或了。

Cacti插件Syslog配置详解cacti中syslog插件，是通过rsyslog或syslog-ng与mysql的交互，将日志存放到mysql数据库中，cacti中的syslog插件从mysql中检索查看日志数据。

因此，首先要配置一台rsyslog与mysql的日志中心服务器来接收客户机的日志;其次，配置cacti的syslog插件，通过该插件检索与查询mysql中的日志。

可以收集来自linux、windows等服务器和交换机路由器的日志。

做到集中和分类查看。

一．配置服务端来接收日志要想接收日志信息，并在cacti的syslog插件中显示接收到的日志，首先是接收日志，在CenotOS系统下有两种情况。

1．Centos5.5及以下系统上：syslog+syslog-ng在Centos5.5及以下系统上，系统默认有syslog，可以发送日志，但不能接收日志，要借助于syslog-ng来接收发送过来的日志，并规范成一个模版，再通过自己写的脚本，插入到mysql数据库里。

设置syslog开机自启动chkconfig --level syslog onsyslog-ng在默认的源里没有，可以编译安装，在这里我用yum安装syslog-ng首先添加一个第三方源rpm -Uvh /pub/epel/5/i386/epel-release-5-4.noarch.rpmyum install -y syslog-ng安装好后我们配置syslog-ngvi /etc/syslog-ng/syslog-ng.conf在文件最后加入如下source net {udp();};destination d_mysql {pipe("/tmp/mysql.pipe"template("INSERT INTO syslog_incoming (host, facility, priority, date, time, message) VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$YEAR-$MONTH-$DAY', '$HOUR:$MIN:$SEC', '$MSG' );\n")template-escape(yes));};log { source(net); destination(d_mysql); };log { source(s_sys); destination(d_mysql); };加入后保存，退出。

Syslog的搭建和技巧现在的各种各样的设备：服务器、办公设备、网络设备等均支持SNMP协议，但在大部分酒店中，一般是不会单独部署HP Openview这样的专业网管软件的，一般都依靠设备自身附带的管理软件来实现，这样就会出现SNMP信息集中收集、管理的难题。

而且有些设备在冷启动后log会自动清空，不利于查询历史log。

Syslog软件是一种很好的统一收集SNMP信息的软件，在一般的网络环境中，能起到很好的辅助作用。

这里以kiwi syslog 软件为例，讲几个使用中的技巧。

（安装过程及详细配置这里就不讲了，网上可以找到很多）1、该软件有2种工作模式：基于服务模式和基于程序模式，2者的区别是基于服务的模式在OS中是作为系统的一项服务启动的，即使关闭kiwi syslog的界面窗口，仍可以在后台工作；而基于程序的模式当关闭界面窗口后也会停止运行。

故安装时建议选择第一种模式。

2、大家经常会忽略网管工作站的相关SNMP设置项，正确的设置应该首先启动SNMP Service和SNMP Trap Service两个服务，并对SNMP Service属性选项卡中的陷阱和安全进行设置。

安全选项卡中设置SNMP数据的账户名和读写权限，一般设备默认的都是”public”，如果设备的设置中进行了修改，这里也应该予以相应添加。

陷阱选项卡的设置是首先设立一个团体名，然后指定陷阱地址就可以了。

如下图所示：3、kiwi syslog软件收集的SNMP数据默认的保存方式是：以日期时间为序，在一个文件中保存所有设备的日志，每小时生成一个文件。

这样的保存方式是很不利于查询各设备的log信息的，所以在比较新的版本中增加了以设备IP地址分开保存的方式，但软件上的设置选项并未明确提示，所以一般很容易忽略掉。

应在log to files的选项卡中的保存路径和文件名选项中手工键入：\sys%IPAdd4.txt。

具体配置信息参见下图：山西相府庄园酒店赵永强。

一、linux操作系统syslog配置说明：linux操作系统的syslog配置有三种syslog配置，分别是：syslog、rsyslog、syslog-ng1、Syslog举例1）寻找syslog.conf文件#find / -name syslog.conf注：syslog.conf文件通常是存储与根目录的etc下。

2）修改syslog.conf文件#vi /etc/syslog.conf说明：vi 后输入syslog.conf文件的绝对路径，如/etc/syslog.conf。

然后，按insert （i）后即可修改文件。

在该文件最后添加一条命令：*.* @ IPAddress说明：* @之间为<tab>键，切勿漏输；IPAddress是日志审计的IP 如@192.168.52.6这里的*.* 代表所有的日志，也可以定义如mail.* 或者*.info 等指定具体的日志进行发送。

最后，按ESC后输wq保存修改。

3）重启syslog服务#service syslog restart2、Rsyslog举例1）寻找rsyslog.conf文件#find / -name rsyslog.conf注：rsyslog.conf文件通常是存储与根目录的etc下。

2）修改rsyslog.conf文件#vi /etc/rsyslog.conf说明：vi 后输入rsyslog.conf文件的绝对路径，如/etc/rsyslog.conf。

然后，按insert（i）后即可修改文件。

在该文件最后添加一条命令：*.* @ IPAddress说明：* @之间为<tab>键，切勿漏输；IPAddress是日志审计的IP 如@192.168.52.6这里的*.* 代表所有的日志，也可以定义如mail.* 或者*.info 等指定具体的日志进行发送。

最后，按ESC后输wq保存修改。

3）重启syslog服务#service rsyslog restart3、Syslog-ng 举例1）寻找syslog-ng.conf文件#find / -name rsyslog.conf2）修改：/etc/syslog-ng/syslog-ng.conf配置文件，在该文件内容最后加入以下代码：destination d_syslog { udp("IPAddress" port(514)); };filter：filter f_soc { level(info..emerg) };log：log { source(s_sys); filter(f_soc); destination(d_syslog); };最后，按ESC后输wq保存修改。