Syslog获取log方法

通过filebeat、logstash、rsyslog采集nginx日志的几种方式由于nginx功能强大，性能突出，越来越多的web应用采用nginx作为http和反向代理的web服务器。

而nginx的访问日志不管是做用户行为分析还是安全分析都是非常重要的数据源之一。

如何有效便捷的采集nginx的日志进行有效的分析成为大家关注的问题。

本文通过几个实例来介绍如何通过filebeat、logstash、rsyslog采集nginx的访问日志和错误日志。

大家都知道ELK技术栈是采集、分析日志的利器。

所以这里介绍的是从nginx采集日志到ES。

当然至于日志采集以后存到看大家的需要。

通过logstash可以方便的配置日志输出存储的方式。

一般来说nginx默认安装后，日志文件在/usr/local/nginx/logs 目录下。

分别有 access.log和error.log 访问日志和错误日志。

这次示例Elasitcsearch是三个节点组成的集群172.28.65.22、172.28.65.23、172.28.65.24，172.28.65.30 是kibana的地址，172.28.65.32是数据采集服务器，上面装有logstash、nginx、filebeat。

一般来说采集服务器上有logstash，而nginx、 filebeat应该是装在采集目标上。

一、直接通过filebeat采集日志到ES在filebeat的安装目录找到filebeat.yml 配置获取日志文件的路径及输出到ES的配置。

具体：- type: log# Change to true to enable this input configuration.enabled: true# Paths that should be crawled and fetched. Glob based paths.paths:#- /var/log/*.log- /usr/local/nginx/logs/*.log#- c:\programdata\elasticsearch\logs\*如果需要在kibana中友好显示的化，可进行kibana配置输出到es中，在hosts中配置好你的ES服务地址。

设置 Syslog 日志服务器用来获取交换机日志（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置）注:配置日志服务器前先检查是否已安装了SYSLOG服务执行 ps -e |grep syslogd 查看进程是否存在没有安装 # apt-get install syslogd 安装,或下载用安装包H3C交换机的设置举例1. 组网需求将系统的日志信息发送到 linux 日志主机；日志主机的IP 地址为 1.2.0.1/16；信息级别高于等于 informational 的日志信息将会发送到日志主机上；日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。

2. 组网图3. 配置步骤(1) 设备上的配置。

# 开启信息中心。

<Sysname> system-view[Sysname] info-center enable# 指定向日志主机输出日志信息的通道为 loghost 通道。

[Sysname] info-center loghost 1.2.0.1 channel loghost# 关闭所有模块日志主机的 log、trap、debug 的状态。

[Sysname] info-center source default channel loghost debug state off log state off trap state off注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。

可以用display channel 命令查看通道的状态。

# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。

[Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。

用Syslog记录各种OS平台日志的方法用 Syslog 记录各种 OS 平台日志的方法在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

因此，在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。

本文以FreeBSD 下的syslog 为例，介绍如何利用 freebsd 的 syslogd 来记录来自 UNIX 和 windows 的 log 信息。

一、记录UNIX 类主机的log 信息首先需要对Freebsd 的syslog 进行配置，使它允许接收来自其他服务器的log 信息。

在/etc/rc.conf 中加入：syslogd_flags="-4 -a 0/0:*"说明：freebsd 的syslogd 参数设置放在/etc/rc.conf 文件的syslogd_flags 变量中Freebsd 对syslogd 的默认设置参数是syslogd_flags="-s"，(可以在/etc/defaults/rc.conf 中看到) 默认的参数-s 表示打开 UDP 端口监听，但是只监听本机的 UDP 端口，拒绝接收来自其他主机的 log 信息。

如果是两个 ss,即-ss，表示不打开任何 UDP 端口，只在本机用/dev/log 设备来记录 log. 修改后的参数说明： -4 只监听 IPv4 端口，如果你的网络是 IPv6 协议，可以换成-6 -a 0/0:* 接受来自所有网段所有端口发送过来的 log 信息。

如果只希望syslogd 接收来自某特定网段的log 信息可以这样写：-a 192.168.1.0/24:* -a 192.168.1.0/24:514 或者-a 192.168.1.0/24 表示仅接收来自该网段514 端口的log 信息，这也是freebsd 的syslogd 进程默认设置，也就是说 freebsd 在接收来自其他主机的 log 信息的时候会判断对方发送信息的端口，如果对方不是用 514 端口发送的信息，那么 freebsd 的 syslogd 会拒绝接收信息。

python 正则表达式工具syslog解析-回复读者在使用Python编程时，经常会遇到需要处理日志文件的情况。

例如，当我们需要从syslog文件中解析出特定的信息时，正则表达式是非常有用的工具。

本文将向读者介绍如何使用Python中的正则表达式来解析syslog文件，并提取出括号内的内容作为主题。

首先，让我们来了解什么是syslog文件。

Syslog是一种用于记录操作系统和应用程序活动的标准方法。

在大多数Unix、Linux和类Unix操作系统中，syslog文件通常存储系统日志消息，如警告、错误和系统事件等。

因此，解析syslog文件可以帮助我们对系统的运行状态进行监控和故障排除。

那么，我们将如何使用Python中的正则表达式来解析syslog文件呢？下面是一步一步的指南：第一步，我们需要打开syslog文件并读取其内容。

假设我们的syslog文件名为“syslog.txt”，我们可以使用以下代码来实现：pythonwith open("syslog.txt", "r") as f:content = f.read()第二步，我们可以使用正则表达式来搜索括号内的内容。

在syslog文件中，消息常常被括号包围，我们可以使用正则表达式来匹配这些括号内的内容。

以下是一个简单的正则表达式示例：pythonimport repattern = r"\[(.*?)\]"matches = re.findall(pattern, content)在上面的代码中，我们使用了Python的re库，它提供了一系列的函数来操作正则表达式。

我们定义了一个正则表达式模式，并使用re.findall函数来搜索匹配的内容。

这个模式使用了括号来表示我们希望提取的内容，并使用“.*？”来匹配任意字符，直到遇到下一个方括号为止。

最后，我们将匹配到的结果存储在一个列表中。

Linux下syslog日志函数使用许多应用程序需要记录它们的活动。

系统程序经常需要向控制台或日志文件写消息。

这些消息可能指示错误、警告或是与系统状态有关的一般信息。

例如，su程序会把某个用户尝试得到超级用户权限但失败的事实记录下来。

通常这些日志信息被记录在系统文件中，而这些系统文件又被保存在专用于此目的的目录中。

它可能是/usr/adm或/var/log目录。

对一个典型的Linux安装来说，文件/var/log/messages 包含所有系统信息，/var/log/mail包含来自邮件系统的其他日志信息，/var/log/debug可能包含调试信息。

你可以通过查看/etc/syslog.conf文件来检查系统配置。

下面是一些日志信息的样例：这里，我们可以看到记录的各种类型的信息。

前几个是Linux内核在启动和检测已安装硬件时自己报告的信息。

接着是任务安排程序cron报告它正在启动。

最后，su程序报告用户neil 获得了超级用户权限。

查看日志信息可能需要有超级用户特权。

有些UNIX系统并不像上面这样提供可读的日志文件，而是为管理员提供一些工具来读取系统事件的数据库。

具体情况请参考系统文档。

虽然系统消息的格式和存储方式不尽相同，可产生消息的方法却是标准的。

UNIX规范为所有程序提供了一个接口，通过syslog函数来产生日志信息：syslog函数向系统的日志工具发送一条日志信息。

每条信息都有一个priority参数，该参数是一个严重级别与一个设施值的按位或。

严重级别控制日志信息的处理，设施值记录日志信息的来源。

定义在头文件syslog.h中的设施值包括LOG_USER（默认值）——它指出消息来自一个用户应用程序，以及LOG_LOCAL0、LOG_LOCAL1直到LOG_LOCAL7，它们的含义由本地管理员指定。

严重级别按优先级递减排列，如表4-6所示。

表4-6优先级说明LOG_EMERG紧急情况LOG_ALERT高优先级故障，例如数据库崩溃LOG_CRIT严重错误，例如硬件故障LOG_ERR错误LOG_WARNING警告LOG_NOTICE需要注意的特殊情况LOG_INFO一般信息LOG_DEBUG调试信息根据系统配置，LOG_EMERG信息可能会广播给所有用户，LOG_ALERT信息可能会EMAIL给管理员，LOG_DEBUG信息可能会被忽略，而其他信息则写入日志文件。

Linux系统日志管理使用syslog和logrotate Linux系统由许多不同的组件组成，每个组件都会产生日志信息，这些日志是诊断和故障排除的重要工具。

为了有效地管理和存储这些日志，Linux系统提供了一些工具和技术。

本文将重点介绍syslog和logrotate这两个工具，它们在Linux系统日志管理中起到关键的作用。

一、syslogsyslog是Linux系统中的一个强大的日志管理器。

它负责收集、存储和传输各种系统日志信息。

syslog提供了一个标准化的接口，让不同的应用程序和服务都能将日志信息发送到同一个地方。

1. 配置syslogsyslog的配置文件位于/etc/syslog.conf。

通过编辑该文件，可以定义不同级别的日志信息应该被保存在哪个文件中。

例如，可以将错误级别的日志信息保存在一个独立的文件中，以便更方便地查找和分析。

2. 使用syslog在应用程序或服务的配置文件中，可以通过syslog将日志信息发送到syslog服务器。

这样，所有的日志信息都会被中心化地收集和管理，方便日后的分析和审查。

二、logrotatelogrotate是一个用于自动轮转日志文件的工具。

在Linux系统上，日志文件会不断地增大，如果不及时处理，将会占用大量的存储空间。

logrotate可以根据预定义的规则定期地对日志文件进行轮转，将旧的日志文件压缩或删除，以便释放存储空间。

1. 配置logrotatelogrotate的配置文件位于/etc/logrotate.conf。

通过编辑该文件，可以定义日志文件的轮转规则，包括轮转的频率、保留的历史日志文件数量等。

2. 使用logrotatelogrotate默认会按照配置文件中定义的规则对指定的日志文件进行轮转。

可以使用命令行工具`logrotate`手动执行轮转操作，也可以通过配置cron任务实现定期的自动轮转。

三、syslog和logrotate的配合使用syslog和logrotate是两个独立的工具，但它们可以很好地协作，完成对Linux系统日志的管理。

syslog详解及配置远程发送⽇志和远程⽇志分类syslog详解及配置远程发送⽇志和远程⽇志分类1、⽇志协议syslog# 1.1、syslog简介 完善的⽇志分析系统应该能够通过多种协议（包括syslog等）进⾏⽇志采集并对⽇志分析，因此⽇志分析系统⾸先需要实现对多种⽇志协议的解析。

其次，需要对收集到的海量⽇志信息进⾏分析，再利⽤数据挖掘技术，发现隐藏再⽇志⾥⾯的安全问题。

Syslog再UNIX系统中应⽤⾮常⼴泛，它是⼀种标准协议，负责记录系统事件的⼀个后台程序，记录内容包括核⼼、系统程序的运⾏情况及所发⽣的事件。

Syslog协议使⽤UDP作为传输协议，通过514端⼝通信，Syslog使⽤syslogd后台进程，syslogd启动时读取配置⽂件/etc/syslog.conf，它将⽹络设备的⽇志发送到安装了syslog软件系统的⽇志服务器，Syslog⽇志服务器⾃动接收⽇志数据并写到指定的⽇志⽂件中。

# 1.2、syslog⽇志格式syslog标准协议如下图： Syslog消息并没有对最⼩长度有所定义，但报⽂的总长度必须在1024字节之内。

其中PRI部分必须有3个字符，以‘<’为起始符，然后紧跟⼀个数字，最后以‘>’结尾。

在括号内的数字被称为Priority（优先级），priority值由Facility和severity两个值计算得出，这两个值的级别和含义见表1-1和表1-2。

下⾯是⼀个例⼦：<30>Oct 1020:30:10 fedora auditd [1780]: The audit daemon is exiting▶“<30>”是PRI部分，即Priority（优先级），取值范围0~191。

▶“Oct 10 20:30:10 fedora”是HEADER（报头部分）。

▶“auditd [1780]: The audit daemon is exiting”是MSG（信息）部分。

linux下syslog使用说明2012-09-26 15:43:36分类：LINUXsyslog 系统日志应用1) 概述syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf文件。

程序，守护进程和内核提供了访问系统的日志信息。

因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。

几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据 syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。

意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。

通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。

/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。

2) etc/syslog.conf/etc/syslog.conf 文件使用下面的格式：facility.level actionfacility.level为选择条件本身分为两个字段，之间用一个小数点（.）分隔。

action和facility.level之间使用TAB隔开。

前一字段是一项服务，后一字段是一个优先级。

选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。

在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。

action字段所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。

要素分析：facility 指定 syslog 功能，主要包括以下这些：kern 内核信息，首先通过 klogd 传递；user 用户进程；mail 邮件；daemon 后台进程；authpriv 授权信息；syslog 系统日志；lpr 打印信息；news 新闻组信息；uucp 由uucp生成的信息cron 计划和任务信息。

如何通过NMS300收集网件设备syslog日志
美国网件公司是全球领先的企业网络解决方案，及数字家庭网络应用倡导者，那么你知道如何通过NMS300收集网件设备syslog日志吗?下面是店铺整理的一些关于如何通过NMS300收集网件设备syslog日志的相关资料，供你参考。

通过NMS300收集网件设备syslog日志的方法：
目前很多企业的网络都通过单独的syslog服务器手机设备的日志，这样既要部署网管服务器，又要部署syslog服务器。

既增加了部署服务器的数量增加了管理的复杂度，又增加了企业的IT投入成本。

NMS300已经集成了syslog服务器功能，这样可以将网管服务器和syslog服务器集成在一台设备上，减少了服务器的数量，减低了管理复杂度的同时，减少企业的IT投入成本
本文档以NMS300和M5300为例，说明如何收集设备的日志。

拓扑图如下
在这个拓扑中M5300和NMS300直连，配置同一网段的地址。

实际应用当中M5300和NMS300可以通信即可。

把M5300添加到NMS300当中。

M5300配置syslog服务器IP地址
(M5300-28GF3) (Config)#logging host 192.168.0.10 ipv4 514 info
(M5300-28GF3) (Config)#logging syslog
在NMS300上查看到M5300发来的syslog
查看某一条log的详细信息。

Cacti插件详解——Syslog本文出自地址：/?p=450cacti中syslog插件，是通过rsyslog或syslog-ng与mysql的交互，将日志存放到mysql数据库中，cacti 中的syslog插件从mysql中检索查看日志数据。

因此，首先要配置一台rsyslog与mysql的日志中心服务器来接收客户机的日志;其次，配置cacti的syslog插件，通过该插件检索与查询mysql中的日志。

可以收集来自linux、windows等服务器和交换机路由器的日志。

做到集中和分类查看。

说下软件环境os：centos6.2x86cacti-0.8.7i-PIA-3.1.tar.gzsyslog-v1.22-2.tgzrsyslog-4.6.2-12.el6.i686关于cacti的安装我这里就不详细讲了，可以在我的另外二篇文章Cacti 0.8.7g在CentOS5.5上的安装（1）Cacti 0.8.7g在CentOS5.5上的安装（2）由于我们此次安装的是集成PIA的cacti，因此不用单独安装PIA,安装好cacti以后要启用Plugin Management,然后我们下载syslog插件1.设置接收日志要想接收日志信息，并在cacti的syslog插件中显示接收到的日志，首先是接收日志，有二种办法：1.使用syslog-ng，在centos5.5及以下系统上，系统默认有syslog，可以发送日志，但不能接受日志，因此要借助于syslog-ng，来接收发送过来的日志，并规范成一个模版，再通过自己写的脚本，插入到mysql数据库里2.使用rsyslog，rsyslog是在centos6以上系统自带的，rsyslog不仅能接收日志，还可以发送日志，因此要是在centos6以上系统就不需要额外安装syslog-ng接收日志了，用自带的rsylog就可以接收日志，再用rsyslog-mysql 就可以把接收到的日志写入mysql数据库下面我分别说明：A.使用rsyslog我用的是centos6.2使用的是rsyslog，配置下就可以用来接受日志。

SYSLOG日志数据采集实现SYSLOG日志数据采集实现在日常网络安全管理中应该建立起一套有效的日志数据采集方法，将所有安全设备的日志记录汇总，便于管理和查询，从中提取出有用的日志信息供网络安全管理方面使用，及时发现有关安全设备在运行过程中出现的安全问题，以便更好地保证网络正常运行。

日志文件能够详细记录系统每天发生的各种各样的事件，对网络安全起着非常的重要作用。

网络中心有大量安全设备，将所有的安全设备逐个查看是非常费时费力的。

另外，由于安全设备的缓存器以先进先出的队列模式处理日志记录，保存时间不长的记录将被刷新，一些重要的日志记录有可能被覆盖。

因此在日常网络安全管理中应该建立起一套有效的日志数据采集方法，将所有安全设备的日志记录汇总，便于管理和查询，从中提取出有用的日志信息供网络安全管理方面使用，及时发现有关安全设备在运行过程中出现的安全问题，以便更好地保证网络正常运行。

采集技术比较网络管理中常用来采集日志数据的方式包括文本方式采集、SNMP Trap方式采集和syslog方式采集，另外，其他采集方式，如Telnet采集(远程控制命令采集)、串口采集等。

我们如何选用比较合适的技术方式进行日志数据采集是必须首先考虑的，下面对当前主要的日志数据采集技术进行简单分析。

文本方式在统一安全管理系统中以文本方式采集日志数据主要是指邮件或FTP方式。

邮件方式是指在安全设备内设定报警或通知条件，当符合条件的事件发生时，相关情况被一一记录下来，然后在某一时间由安全设备或系统主动地将这些日志信息以邮件形式发给邮件接受者，属于被动采集日志数据方式。

其中的日志信息通常是以文本方式传送，传送的信息量相对少且需专业人员才能看懂。

而FTP方式必须事先开发特定的采集程序进行日志数据采集，每次连接都是完整下载整个日志文本文件,网络传输数据量可能非常大，属于主动采集日志数据方式。

随着网络高速的发展，网络内部以百兆、千兆甚至万兆互联，即使采取功能强大的计算机来处理日志数据包的采集工作，相对来说以上两种方式速度和效率也是不尽人意。

python syslog日志的处理方式Python 的 `syslog` 模块提供了一种方便的方式来读取和处理系统日志。

以下是一些使用 `syslog` 模块的基本示例：```pythonimport syslog打开连接到系统日志('python_syslog_example')写入一条日志消息('This is a test message')读取并处理日志消息while True:读取一条日志消息message = (_CONS _PPROD)处理日志消息，例如打印出来print(message)```在上面的代码中，我们首先打开一个连接到系统日志，然后使用 `()` 函数写入一条日志消息。

接下来，我们使用一个无限循环来读取并处理日志消息。

在每次循环中，我们使用 `()` 函数读取一条日志消息，并使用`PLOG_CONS` 和 `PLOG_PPROD` 标志来确保我们读取的是最新的消息。

然后，我们可以对读取的日志消息进行处理，例如打印出来。

需要注意的是，`syslog` 模块默认会将日志消息发送到 `/dev/log` 文件中，这通常是系统日志守护进程（如 `rsyslog` 或 `syslog-ng`）监听的地址。

如果要将日志消息发送到其他地址，可以使用 `()` 函数的 `facility` 和`options` 参数来指定。

例如，要将日志消息发送到本地计算机上的另一个地址，可以使用以下代码：```pythonimport syslog打开连接到系统日志，并将日志消息发送到另一个地址('python_syslog_example', _CONS _PPROD, 'myfacility','/my/log/path')写入一条日志消息('This is a test message')```在上面的代码中，我们使用 `openlog()` 函数的 `facility` 和 `options` 参数来指定将日志消息发送到名为 `myfacility` 的设施和 `/my/log/path` 路径下。

使用 rsyslog 收集日志文件在计算机系统中，日志文件是一种非常重要的组件。

在运行过程中，系统会不断记录各种各样的事件和数据，而这些数据就会以日志的形式存储在指定的文件中。

对于系统管理员来说，通过分析日志文件可以了解系统的运行情况和故障信息，以及对系统进行优化和调优。

为了方便地进行日志的管理和分析，我们通常需要使用一些工具来收集和处理日志文件，其中 rsyslog 就是一个常用的工具之一。

rsyslog 是一种高性能、多线程的 Syslog 守护进程，具有灵活的配置和丰富的功能。

它支持从多种来源收集日志，包括本地文件、网络 Socket、系统日志、SNMP、数据库等，而且可以将收集到的日志转发到指定的目的地，如文件、邮件、数据库等。

同时，rsyslog 还支持多种协议，如Syslog、TCP、UDP、TLS、Relp 等，使得日志的传输更加可靠和安全。

在使用 rsyslog 进行日志管理时，我们需要先进行配置。

以下是一个简单的示例：1. 在 rsyslog 配置文件中添加一条规则：```bash$ModLoad imfile # 加载 imfile 模块$InputFilePollInterval 10 # 每 10 秒钟查看一次文件是否有新记录$InputFileName /var/log/nginx.log # 要收集的日志文件名$InputFileTag nginx-access # 日志的标签，用于区分不同日志来源$InputFileStateFile state-nginx # 记录文件的读取位置$InputFileFacility local0 # 日志的设施类型$InputRunFileMonitor # 启动日志监控if $syslogfacility-text == "local0" and $syslogtag == "nginx-access" then {action(type="syslog" server="192.168.1.100" facility="local0")}```2. 重启 rsyslog 服务：```bash# systemctl restart rsyslog```3. 查看日志：```bash# tail -f /var/log/syslog```在上述示例中，我们通过添加一条规则来指定要收集的日志文件、标签、设施类型等信息，并配置了转发策略以将收集到的日志发送到指定的目的地。

Ubuntu中⽤syslog记录外部设备⽇志（Log Server）这⾥以CISCO ASA5520向Ubuntu 8.04 Server输出⽇志为例。

1、设置Log Server允许syslog记录外部⽇志修改 /etc/default/syslogd，把其中的 SYSLOGD="" 改为 SYSLOGD="-r"。

重启syslogd后，会监听UDP的514端⼝。

设置了FW的话，需要授权对UDP/514的访问。

2、定义外部设备⽇志重定向输出修改CISCO ASA5520⽇志定义，让其将⽣成的⽇志向 Ubuntu 服务器发送（UDP/514）。

(config)#logging host inside 10.39.10.61 udp/514注意：ASA5520的facility值默认是20，对应于Ubuntu OS的local4。

（ASA5520的facility从16-23，分别对应：local0-local7）。

3、定义⽇志⽂件考虑到⽇志⽂件⽐较多，在 /var/log 下新建 firewall ⽬录，⽤于保存⽇志⽂件。

⽬录属性750，宿主syslog.adm。

修改 /etc/syslog.conf，在其中增加下⾯⼀⾏： -/var/log/firewall/firewall.log即：只记录info级别以上的安全级别⽇志，不含info级别本⾝，包括：notice、warning、error、critical、alert、emergencies 等级别。

/etc/init.d/syslogd reload后，可进⾏测试：#logger -p local4.error "Test by Lion.Chen."/etc/syslog.conf定义规则如下：facility.level action设备.优先级动作facility.level 字段也被称为seletor（选择条件），选择条件和动作之间⽤空格或tab分割开。

本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！== 本文为word格式，下载后可方便编辑和修改！ ==syslog记录日志篇一：syslog 系统日志应用syslog 系统日志应用1) 概述syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf文件。

程序，守护进程和内核提供了访问系统的日志信息。

因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。

几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据 syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。

意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。

通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。

/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。

2) etc/syslog.conf/etc/syslog.conf 文件使用下面的格式：facility.level actionfacility.level为选择条件本身分为两个字段，之间用一个小数点（.）分隔。

action和facility.level之间使用TAB隔开。

前一字段是一项服务，后一字段是一个优先级。

选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。

在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。

action字段所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。

Syslog服务器收集系统log信息在定位设备故障时，如果能够收集到故障时设备的部分命令输出信息，对故障检查将有极大帮助，但在很多情况下，由于种种原因，手工收集信息可能会有困难，往往不能及时收集到有用的信息。

而使用设备自带的syslog 功能，可以自动收集部分设备运行状态信息，并保存在一个syslog 服务器中，这样，即使设备被重新启动了，这些状态信息仍然可以从syslog 服务器中获取，从而为故障定位提供帮助。

syslog要考虑的主要是哪些日志需要发送到日志服务器上，即日志等级，0.emergency—Logs only emergency events. Such as system is unusable1.alert—Logs alert and more severe events. Action must be taken immeditedly2.critical—Logs critical and more severe events.3.error—Logs error and more severe events.4.warning—Logs warning and more severe events.5.notice—Logs notice and more severe events.rmational—Logs informational and more severe events.7.debug—Logs all events, including debug events.如果设置logging level 6 将记录事件严重级别定义为从informational开始，一直到最紧急级别的事件全部记录到前边指定的syslog server7750的log事件流分为4种级别：1.Security —用于记录用户登录，登录失败，越级操作尝试等安全方面的内容；2.Change —用于记录配置修改或节点运行状态改变的log；3.Debug—trace －用于分析协议细节的debug；4.Main —除了上述内容外的其它log内容；7750的log的应用：7750# show log applications==================================Log Event Application Names==================================Application Name ----------------------------------APPLICATION_ASSURANCEAPS APS K1K2以及切换信息ATM Cpos 155M端口E1信息BGPCCAGCFLOWDCHASSISCPMHWFILTERDEBUGDHCPDHCPSDOT1AGDOT1XEFM_OAMFILTERGSMPIGMPIGMP_SNOOPINGIPIPSECISISLAGLDPLILOGGERMCACMCPATHMC_REDUNDANCYMIRRORMLDMLD_SNOOPINGMPLSMSDPNTPOAMOSPFPIMPIM_SNOOPINGPORTPPPPPPOEQOSRIPROUTE_POLICYRSVPSECURITYSNMPSTPSUBSCR_MGMTSVCMGRSYSTEMTIPTODUSERUSER_DBVRRPVRTRSys log 服务器配置：Syslog服务器硬件基本配置：●操作系统：Windows xp/2000；●内存：1G；●硬盘：200G；●CPU：1.6GHzSyslog服务器软件：●3CDaemonSyslog 服务配置完成后，每台需要记录syslog 信息的设备均会将log 信息记录到文件名与自身IP地址对应的log 文件中。

syslog转发audit日志将syslog转发到audit日志可以通过多种方法实现。

一种常见的方法是使用rsyslog或syslog-ng等工具来配置syslog服务器，然后将其配置为将日志转发到audit日志。

以下是一种可能的方法：首先，确保你的系统上安装了rsyslog或syslog-ng。

然后编辑rsyslog或syslog-ng的配置文件，通常是在/etc/rsyslog.conf或/etc/syslog-ng/syslog-ng.conf中。

在配置文件中，你需要添加一个规则来指示rsyslog或syslog-ng将特定类型的日志消息转发到audit日志。

你可以使用过滤器来选择特定的日志消息类型，然后使用action来指示将这些消息转发到audit日志。

例如，在rsyslog中，你可以添加类似以下的规则来将所有authpriv.消息转发到audit日志：authpriv. /var/log/audit.log.在syslog-ng中，你可以使用类似以下的配置来实现相同的功能：filter f_authpriv { facility(auth, authpriv); };destination d_audit { file("/var/log/audit.log"); };log { source(s_src); filter(f_authpriv);destination(d_audit); };请注意，这只是一个示例配置，实际的配置取决于你的系统和需求。

确保在修改配置文件之前备份它们，并且在修改后重新加载rsyslog或syslog-ng以使更改生效。

另外，你还需要确保audit日志已经配置并启用。

你可以使用auditctl命令来配置audit规则，并使用auditd服务来启用audit 日志记录。

总之，将syslog转发到audit日志需要对rsyslog或syslog-ng进行配置，并确保audit日志已经配置和启用。

Cacti插件详解——SyslogCacti插件详解——Syslogcacti中syslog插件，是通过rsyslog或syslog-ng与mysql的交互，将⽇志存放到mysql数据库中，cacti中的syslog插件从mysql中检索查看⽇志数据。

因此，⾸先要配置⼀台rsyslog与mysql的⽇志中⼼服务器来接收客户机的⽇志;其次，配置cacti的syslog插件，通过该插件检索与查询mysql中的⽇志。

可以收集来⾃linux、windows等服务器和交换机路由器的⽇志。

做到集中和分类查看。

说下软件环境os：centos6.2×86cacti-0.8.7i-PIA-3.1.tar.gzsyslog-v1.22-2.tgzrsyslog-4.6.2-12.el6.i686关于cacti的安装我这⾥就不详细讲了，可以在我的另外⼆篇⽂章Cacti 0.8.7g在CentOS5.5上的安装（1）Cacti 0.8.7g在CentOS5.5上的安装（2）由于我们此次安装的是集成PIA的cacti，因此不⽤单独安装PIA,安装好cacti以后要启⽤Plugin Management,然后我们下载syslog插件1.设置接收⽇志要想接收⽇志信息，并在cacti的syslog插件中显⽰接收到的⽇志，⾸先是接收⽇志，有⼆种办法：1.使⽤syslog-ng，在centos5.5及以下系统上，系统默认有syslog，可以发送⽇志，但不能接受⽇志，因此要借助于syslog-ng，来接收发送过来的⽇志，并规范成⼀个模版，再通过⾃⼰写的脚本，插⼊到mysql数据库⾥2.使⽤rsyslog，rsyslog是在centos6以上系统⾃带的，rsyslog不仅能接收⽇志，还可以发送⽇志，因此要是在centos6以上系统就不需要额外安装syslog-ng接收⽇志了，⽤⾃带的rsylog就可以接收⽇志，再⽤rsyslog-mysql就可以把接收到的⽇志写⼊mysql数据库下⾯我分别说明：A.使⽤rsyslog我⽤的是centos6.2使⽤的是rsyslog，配置下就可以⽤来接受⽇志。