syslog配置

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

1 UNIX主机1.1 Solaris通过Unix系统的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1．提供Unix系统的IP地址2．提供Unix系统的主机名称3．在Unix系统/etc/syslog.conf文件最后追加以下2行*.err &nbs p; @IP @IP@IP为采集机地址4．用下面的命令重启syslog服务Ø 对于Solaris8,9/etc/init.d/syslog stop/etc/init.d/syslog startØ 对于Solaris10Svcadm restart system-log1.2 HP-UX通过Unix系统的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1．提供Unix系统的IP地址2．提供Unix系统的主机名称3．在Unix系统/etc/syslog.conf文件最后追加以下2行*.err @IP @IP@IP为采集机地址下面的命令停止syslog服务ps –ef|grep syslogdkill PID5．下面的命令启动syslog服务/usr/sbin/syslogd -D1.3 AIX通过Unix系统的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1．提供Unix系统的IP地址2．提供Unix系统的主机名称3．在Unix系统/etc/syslog.conf文件最后追加以下2行*.err @IP (中间以Tab健分割) @IP (中间以Tab健分割)注：@IP为采集机地址5．用下面的命令停止syslog服务stopsrc -s syslogd6．用下面的命令启动syslog服务startsrc -s syslogd2 Windows主机由于Windows系统自身不具备日志转发功能，所以对Windows事件采集，需要在被管设备中安装一个Agent采集程序，完成对windows系统事件的采集。

Syslog 简介Syslog是一个通过IP网络允许一台机器发送事件通知信息给事件收集者（Syslog服务器或者Syslog Daemon）的协议。

换言之，就是一台机器或者设备能够被配置，使之产生Syslog 信息并且发送到一台特定的Syslog服务器/Daemon。

Syslog信息建立在UDP之上，一般Syslog信息在UDP514端口上被收集，Syslog信息的长度不大于1024字节。

由于基于UDP协议，所以当如果因为网络拥塞等情况导致信息包丢失，那么信息将不再重发，而是简单的丢失掉。

Syslog协议是在Unix系统上被创建出来的。

使用Syslog，一个远程Unix主机能够很好的跟踪另一台Unix主机。

任何应用程序都能够产生Syslog信息。

格式Syslog包的格式:一个Syslog信息主要有三部分组成。

分别是PRI，HEADER，MSG。

日志信息格式如下：<优先级>时间戳主机名模块名/级别/信息摘要:内容<priority>timestamp sysname module/level/digest:content以上格式中的尖括号（< >）、空格、斜杠（/）、冒号（:）是有效的、必须的。

输出到日志主机的日志格式的例子如下：<189>Jun 7 05:22:03 2003 Quidway IFNET/6/UPDOWN:Line protocol on interface Ethernet0/0/0, changed state to UP以下对每一个字段做详细说明。

1.优先级是优先级的意思，它由两部分组成，共一个字节，前3位是严重度（Severity），后5位是表示Facility。

优先级的计算按如下公式：facility*8+severity-1。

a) 严重度b) Facility2。

Header包括两部分：1>时间戳，它是指信息生成的日期和时间。

Syslog配置及使用简介目录Syslog配置及使用简介 (1)1.Syslog简介 (2)2.Syslog协议 (2)2.1. syslog体系结构 (2)2.2. syslog包格式 (2)3.Syslog配置 (3)3.1 概览 (4)3.2选择符 (4)3.3 动作 (4)4.C语言中的syslog (5)4.1 openlog (5)4.2 syslog (5)4.3 closelog (6)4.4 setlogmask (6)4.5例子 (6)5.参考文献 (7)1.Syslog简介Syslog常被称作系统日志，在80年代作为sendmail的一部分而发布，由于其可用性，现在已成为用来在internet中传递日志信息的事实上的标准。

这些传递日志的程序或数据库同时也被称作syslog。

Syslog是主从式的协议，syslog发送端发送一些小的文字信息到syslog 接收端，接收端根据配置文件把收到的信息进行存储或者处理，或者再次进行转发。

Syslog通常被用作系统信息管理，由于其已在大多数系统上实现，所以它可以把不同类型主机上的信息集中整合到一起。

但是它仍然有许多缺陷，表现在下面几个方面：Syslog 的传输是通过UDP或者TCP传输，安全性并不可靠。

一般可以通过ssl加密壳来完成加密；syslog的实时性不好，只能通过更改配置加以改进。

所以syslog主要用在安全性要求不高，实时性不强的地方。

2.Syslog协议syslog使用UDP协议作为它的传输层协议，其默认使用UDP端口514。

2.1. syslog体系结构syslog模糊了发送方、接收方，设备、中继以及收集器的区别，一台设备可以同时是某种日志信息的中继、也可以是另外某种信息的收集器，同时可以作为发送者发送日志：●发送方发送日志信息至某个主机，并不知道这台主机会如何处理这些日志。

●发送方可以通过配置，把同一条日志同时发送给多个接收者。

配置说明syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf(可变动)1、架构syslog-ng的配置基于下面的架构：引用LOG STATEMENTS『SOURCES －FILTERS －DESTINATIONS』消息路径『消息源－过滤器－目的站』也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。

2、消息源SOURCES定义格式为：引用source <sourcename> { sourcedriverparams; sourcedriverparams; ... };含义：引用<sourcename>：一个消息源的标识sourcedriver：消息源驱动器，可以支持若干参数，并使用分号“；”隔离多个消息源驱动器消息源驱动器有：引用file (filename) ：从指定的文件读取日志信息unix-dgram (filename) ：打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息unix-stream (filename) ：打开指定的SOCK_STREAM模式的unix套接字，接收日志消息udp ( (ip),(port) ) ：在指定的UDP端口接收日志消息tcp ( (ip),(port) ) ：在指定的TCP端口接收日志消息sun-streams (filename) ：在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息internal() ：syslog-ng内部产生的消息pipe(filename),fifo(filename) ：从指定的管道或者FIFO设备，读取日志信息例如：引用source s_sys {file ("/proc/kmsg" log_prefix("kernel: "));unix-stream ("/dev/log");internal();# udp(ip(0.0.0.0) port(514)); #如果取消注释，则可以从udp的514端口获取消息※linux使用/dev/log作为SOCK_STREAM unix的套接字，BSD使用/var/run/log；参数需要使用括号括住。

刘哥,你好：
1.地市运行的华为数据设备开启SNMP服务命令。

开启命令：
1，开启snmp，snmp-agent sys-info version all
2，开启trap，
snmp trap enable
snmp-agent target-host trap address udp-domain 172.30.245.5 params securityname public v2c
3，配置snmp口令：
snmp-agent community read public
snmp-agent community write private
4，配置SNMP维护信息（可选）。

参考手册如下：
2.华为数据设备开启LLDP服务：
开启命令：
1，配置lldp trap enable（已配置）
2，在SYS模式下运行“lldp enable”命令开启lldp服务（必须开启）3，配置管理地址（不用配置）。

4，并通过“disp lldp local”、“disp lldp nei”等命令确认开启信息。

参考手册如下：
3.将地市华为数据设备的syslog和trap指向各地市服务器。

华为Syslog配置：
info-center source default channel 2 log level warning info-center loghost 172.30.245.5
info-center loghost 172.16.9.2
4.数据设备的Qos服务开启命令。

开启Qos服务命令：不用专门开启。

Solaris配置syslog服务方法在/etc/syslog.conf文件中加入一行。

*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @10.212.41.75其中@loghost在hosts文件中定义，vi /etc/hosts。

在其中加入一行：10.212.41.86 loghost 重起syslog服务：/etc/init.d/syslog stop/etc/init.d/syslog startsvcadm restart system/system-log solaris10svcadm restart svc:/system/system-log:default使syslog记录tcp等网络服务日志。

修改/etc/init.d/inetsvc。

找到inetd那行改为：/usr/sbin/inetd -s -t &重启inetd：/etc/init.d/inetsvc stop/etc/init.d/inetsvc startHP UNIX配置syslog服务方法打开inetd日志功能在/etc/rc.config.d/netdaemons中的INETD_ARGS 环境变量中增加－l参数:export INETD_ARGS=-l修改syslog配置文件syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：/sbin/init.d/syslogd stop/sbin/init.d/syslogd startIBM AIX配置syslog服务方法修改syslog配置文件/etc/syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：stopsrc -s syslogdstartsrc –s syslogdSUSE10配置syslog服务vim /etc/syslog-ng/syslog-ng.conf#定义日志类型：filter f_login { level(info) and facility(auth); };filter f_boco { level(warn, err, crit, alert, emerg) and not filter(f_iptables); };#配置日志转发：destination allmessages {udp("10.212.41.87" port(514)); };log { source(src); filter(f_boco); destination(allmessages); };log { source(src); filter(f_login); destination(allmessages); };重启日志服务：/etc/init.d/syslog restartLinux Syslog日志配置在/etc/syslog.conf文件中加入一行。

数据网主流设备配置指南各厂商syslog配置的事件级别以及local设置见下表：厂商event级别local设置Juniper info 1cisco warning 2华为warning 3港湾warning 5一CISCO设备1.1设置IOS设备（路由器）在IOS的Enable状态下，敲入config terminal 进入全局配置状态Cdp run 启用CDP(Cisco Disco very Protocol)snmp-server community XXXXXX ro 配置本路由器的只读字串为XXXXXXsnmp-server community XXXXXX rw 配置本路由器的读写字串为XXXXXX(本项目不需配置) logging on 起动log机制logging IP-address-server将log记录发送到本地采集器地址上logging facility local2 将记录事件类型定义为local2(各厂商syslog对应的local见上表所示) logging trap warning 将发送的记录事件定义为warning以上.logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址(如果没有设置loopback地址，则请将该IP地址指向提供给综合网管的管理地址)service timestamps log datetime 发送记录事件的时候包含时间标记保存配置,完成cisco下IOS操作系统设备的syslog和snmp配置。

1.2设置CatOS设备（交换机）在CatOS的Enable状态下，敲入set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID，IP地址，子网掩码Set cdp enable all 启用CDPset snmp community read-only XXXXXX 配置本交换机的只读字串为XXXXXXset snmp community read-write-all XXXXXX 配置本交换机的读写字串为XXXXXXset logging enable 起动log机制set logging server IP-address-server将log记录发送到本地采集器地址上set logging level 4将发送的记录事件定义为warning以上.set logging server facility local2将记录事件类型定义为local2(各厂商syslog对应的local见上表所示)set logging timestamp 发送记录事件的时候包含时间标记保存配置,完成cisco下CatOS操作系统设备的syslog和snmp配置。

目录目录 (1)syslog 配置 (2)第一章类UNIX系统syslog配置 (2)一、syslog.conf文件配置说明 (2)二、Syslog 服务启停： (3)三、测试产生日志 (4)第二章Windows 平台syslog配置 (4)一、安装配置 (4)二、参数说明： (4)第三章网络设备syslog配置 (4)一、配置步骤 (4)二、检验结果 (5)syslog 配置第一章类UNIX系统syslog配置一、syslog.conf文件配置说明/etc/syslog.con f文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成，两者间用tab制表符进行分隔。

而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成，各保留字段间用分号分隔。

保留字段中的“类型”代表信息产生的源头，可以是：kern 由kernel产生的信息；user 由用户进程产生的信息。

对那些由程序或不在此列出的工具产生的信息，其缺省类型都是“user”;mail 邮件系统产生的信息；daemon 系统守护进程的信息，如in.ftpd、telnetd；auth 由login, su, gett y等进行身份认证时产生的信息；s yslog 由s yslogd自己内部产生的信息；lpr 行打印spooling系统的信息；news USENET 网络新闻系统的信息；uucp UUCP系统信息；cron cron和at工具信息；local0-7 保留为local使用；mark syslogd内部产生的时间戳信息；* 除mark之外的所有其它类型（此符号不可用以代表所有级别）。

保留字段中的“级别”代表信息的重要性，可以是：emerg 紧急，处于Panic状态。

通常应广播到所有用户；alert 告警，当前状态必须立即进行纠正。

例如，系统数据库崩溃；crit 关键状态的警告。

例如，硬件故障；err 其它错误；warning 警告；notice 注意；非错误状态的报告，但应特别处理；info 通报信息；debug 调试程序时的信息；none 通常调试程序时用，指示带有none级别的类型产生的信息无需送出。

windows 2012 配置syslog日志转发-回复Windows Server 2012 配置Syslog 日志转发Syslog 是一种广泛使用的日志协议，它能够帮助系统管理员集中管理不同设备生成的日志。

在Windows Server 2012 中，我们可以配置日志转发，将系统生成的日志从Windows 服务器发送到指定的Syslog 服务器。

本文将一步一步介绍如何在Windows Server 2012 上配置Syslog 日志转发。

第一步：准备工作在开始配置Syslog 日志转发之前，请确保你具备以下条件：1. 一台运行Windows Server 2012 的服务器。

2. 一台运行Syslog 服务的服务器。

3. 两台服务器之间的网络连接正常。

第二步：安装Telnet 客户端在Windows Server 2012 上，默认情况下并没有Telnet 客户端，而在配置Syslog 日志转发时，我们需要使用Telnet 来测试Syslog 服务器是否可达。

因此，我们需要先安装并启用Telnet 客户端。

以下是安装Telnet 客户端的步骤：1. 打开开始菜单，选择"服务器管理器"。

2. 在"服务器管理器" 中，点击"角色" - "添加角色"。

3. 在"添加角色向导" 中，点击"下一步"。

4. 在"服务器角色选择" 页面，勾选"Telnet 客户端"，然后点击"下一步"。

5. 在"功能选择" 页面，点击"下一步"。

6. 在"确认安装选择" 页面，点击"安装"。

7. 安装完成后，关闭"添加角色向导"。

第三步：配置Syslog 日志转发在Windows Server 2012 上配置Syslog 日志转发的具体步骤如下：1. 打开"事件查看器"。

syslog详解及配置远程发送⽇志和远程⽇志分类syslog详解及配置远程发送⽇志和远程⽇志分类1、⽇志协议syslog# 1.1、syslog简介 完善的⽇志分析系统应该能够通过多种协议（包括syslog等）进⾏⽇志采集并对⽇志分析，因此⽇志分析系统⾸先需要实现对多种⽇志协议的解析。

其次，需要对收集到的海量⽇志信息进⾏分析，再利⽤数据挖掘技术，发现隐藏再⽇志⾥⾯的安全问题。

Syslog再UNIX系统中应⽤⾮常⼴泛，它是⼀种标准协议，负责记录系统事件的⼀个后台程序，记录内容包括核⼼、系统程序的运⾏情况及所发⽣的事件。

Syslog协议使⽤UDP作为传输协议，通过514端⼝通信，Syslog使⽤syslogd后台进程，syslogd启动时读取配置⽂件/etc/syslog.conf，它将⽹络设备的⽇志发送到安装了syslog软件系统的⽇志服务器，Syslog⽇志服务器⾃动接收⽇志数据并写到指定的⽇志⽂件中。

# 1.2、syslog⽇志格式syslog标准协议如下图： Syslog消息并没有对最⼩长度有所定义，但报⽂的总长度必须在1024字节之内。

其中PRI部分必须有3个字符，以‘<’为起始符，然后紧跟⼀个数字，最后以‘>’结尾。

在括号内的数字被称为Priority（优先级），priority值由Facility和severity两个值计算得出，这两个值的级别和含义见表1-1和表1-2。

下⾯是⼀个例⼦：<30>Oct 1020:30:10 fedora auditd [1780]: The audit daemon is exiting▶“<30>”是PRI部分，即Priority（优先级），取值范围0~191。

▶“Oct 10 20:30:10 fedora”是HEADER（报头部分）。

▶“auditd [1780]: The audit daemon is exiting”是MSG（信息）部分。

Syslog配置及使用简介目录Syslog配置及使用简介 (1)1.Syslog简介 (2)2.Syslog协议 (2)2.1. syslog体系结构 (2)2.2. syslog包格式 (2)3.Syslog配置 (3)3.1 概览 (4)3.2选择符 (4)3.3 动作 (4)4.C语言中的syslog (5)4.1 openlog (5)4.2 syslog (5)4.3 closelog (6)4.4 setlogmask (6)4.5例子 (6)5.参考文献 (7)1.Syslog简介Syslog常被称作系统日志，在80年代作为sendmail的一部分而发布，由于其可用性，现在已成为用来在internet中传递日志信息的事实上的标准。

这些传递日志的程序或数据库同时也被称作syslog。

Syslog是主从式的协议，syslog发送端发送一些小的文字信息到syslog 接收端，接收端根据配置文件把收到的信息进行存储或者处理，或者再次进行转发。

Syslog通常被用作系统信息管理，由于其已在大多数系统上实现，所以它可以把不同类型主机上的信息集中整合到一起。

但是它仍然有许多缺陷，表现在下面几个方面：Syslog 的传输是通过UDP或者TCP传输，安全性并不可靠。

一般可以通过ssl加密壳来完成加密；syslog的实时性不好，只能通过更改配置加以改进。

所以syslog主要用在安全性要求不高，实时性不强的地方。

2.Syslog协议syslog使用UDP协议作为它的传输层协议，其默认使用UDP端口514。

2.1. syslog体系结构syslog模糊了发送方、接收方，设备、中继以及收集器的区别，一台设备可以同时是某种日志信息的中继、也可以是另外某种信息的收集器，同时可以作为发送者发送日志：●发送方发送日志信息至某个主机，并不知道这台主机会如何处理这些日志。

●发送方可以通过配置，把同一条日志同时发送给多个接收者。

一.Syslog系统日志应用概述syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf 文件。

程序，守护进程和内核提供了访问系统的日志信息。

因此，任何希望生成日志信息的程序都可以向syslog 接口呼叫生成该信息。

几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。

意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。

通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。

/etc/syslog.conf 文件通知syslogd 如何根据设备和信息重要级别来报告信息。

二.syslog配置其主要的配置文件有两个：/etc/sysconfig/syslog 这里定义syslog服务启动时可加入的参数。

/etc/syslog.conf 这个是syslog服务的主要配置文件，根据定义的规则导向日志信息。

2.1设置主配置文件/etc/syslog.conf根据如下的格式定义规则：facility.level action设备.优先级动作facility.level 字段也被称为seletor（选择条件），选择条件和动作之间用空格或tab 分割开。

2.1.1 facilityfacility定义日志消息的范围，其可使用的key有：auth －由pam_pwdb 报告的认证活动。

authpriv －包括特权信息如用户名在内的认证活动cron －与cron 和at 有关的计划任务信息。

daemon －与inetd 守护进程有关的后台进程信息。

syslog的配置文件：/etc/syslog.conf基本，syslog针对各种服务与信息记录在某些文件的配置文件就是/etc/syslog.conf ，这个文件规定了什么服务的什么等级信息以及需要被记录在哪里（设备或文件）这三个东西，使用设置的语法会是下面这样：服务名称[.=!] 信息等级信息记录的文件名或设备或主机#下面以mail这个服务产生的info 等级为例： /var/log/maillog_info#这一行说明：mail服务产生的大于等于info等级信息，都记录到#/var/log/maillog_info文件中''='' 代表所需要的等级就是后面接的等级而已，其他的不要。

''！'' 代表不等于，既是除了该等级外的其他等级都记录。

''.'' 连接符号，一般来说，我们比较常使用。

上面的数据可以分为三部分来说明：服务名称:syslog本身有设置一些服务，你可以通过这些服务来存储系统的信息。

syslog设置的服务主要有下面这些:auth(authpriv)主要与认证有关的机制，例如login ssh su等需要账号/密码。

cron就是例行性工作调度cron/at等生成信息日志的地方。

daemon与各个daemon有关的信息。

kern就是内核（kernel）产生信息的地方。

lpr既是打印相关的信息。

mail只要与邮件收发有关的信息记录都属于这个。

news与新闻组服务器有关的东西。

syslog就是syslogd这个程序本身生成的信息。

user uucp local0~local7与uinx like机器本身有关的一些信息。

syslog与syslog服务器的配置服务器socketunix终端cronlinux1. 前言syslog是UNIX系统中提供的一种日志记录方法(RFC3164)，syslog本身是一个服务器，程序中凡是使用syslog记录的信息都会发送到该服务器，服务器根据配置决定此信息是否记录，是记录到磁盘文件还是其他地方，这样使系统内所有应用程序都能以统一的方式记录日志，为系统日志的统一审计提供了方便。

2. 日志格式syslog记录的日志格式为：月日时:分:秒主机名标志日志内容3. syslog编程为记录日志，通常用到3个函数，openlog(3)，syslog(3)和closelog(3)，openlog(3)和closelog(3)不是必须的，没有openlog(3)的话将用系统缺省的方式记录日志。

#include <syslog.h>void openlog( char *ident, int option, int facility)void syslog( int priority, char *format, ...)void closelog( void )openlog(3)有三个参数，第一个参数是标志字符串，也就是日志中的第5个字段，不设的话缺省取程序名称；第二个参数是选项，是下面一些标志位的组合：LOG_CONS：日志信息在写给日志服务器的同时打印到终端LOG_NDELAY：立即记录日志LOG_PERROR：把日志信息也输出到标准错误流LOG_PID：在标志字段中记录进程的PID值第三个参数是说明日志类型的，定义了以下类型：syslog(3)函数主要的是第一个参数priority，后面那些参数就是和printf(3)函数用法一样了，priority值表示该条日志的级别，日志级别分8级，由高到低的顺序为：如果openlog(3)时没有指定facility，是可以把facility的值或到priority中的，如(LOG_AUTH | LOG_INFO)，已经设置了就可以不用或了。