linux下syslog使用说明

syslog系统日志应用

1) 概述

syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序，守护进程和内核提供了访问系统的日志信息。因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。

几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据 syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。

通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。

2) etc/syslog.conf

文件格式： facility.level action

facility.level为选择条件本身分为两个字段，之间用一个小数点分隔。action和facility.level之间使用TAB隔开。前一字段是一项服务，后一字段是一个优先级。选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。action字段所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。

要素分析：

facility 指定 syslog 功能，主要包括以下这些：

kern 内核信息，首先通过 klogd 传递；

user 用户进程；

mail 邮件；

daemon 后台进程；

authpriv 授权信息；

syslog 系统日志；

lpr 打印信息；

news 新闻组信息；

uucp 由uucp生成的信息

cron 计划和任务信息。

mark syslog 内部功能用于生成时间戳

local0----local7 与自定义程序使用，例如使用 local5 做为 ssh 功能

* 通配符代表除了 mark 以外的所有功能

level 指定syslog优先级（按严重程度由高到低的顺序列出了所有可能的优先级）：

emerg 或 panic 该系统不可用（最紧急消息）

alert 需要立即被修改的条件（紧急消息）

crit 阻止某些工具或子系统功能实现的错误条件（重要消息）

err 阻止工具或某些子系统部分功能实现的错误条件（出错消息）

warning 预警信息（警告消息）

notice 具有重要性的普通条件（普通但重要的消息）

info 提供信息的消息（通知性消息）

debug 不包含函数条件或问题的其他信息（调试级-信息量最多）

none 没有重要级，通常用于排错（不记录任何日志消息）

* 所有级别，除了none

action:

1. /var/log/lastlog : 记录每个使用者最近签入系统的时间, 因此当使用者签入时, 就会显示其上次签入的时间, 您应该注意一下这个时间, 若不是您上次签入的时间, 表示您的帐号可能被人盗用了. 此档可用 /usr/bin/lastlog 指令读取.

2. /var/run/utmp : 记录每个使用者签入系统的时间, who, users, finger 等指令会查这个档案.

3. /var/log/wtmp : 记录每个使用者签入及签出的时间, last 这个指令会查这个档案. 这个档案也记录 shutdown 及 reboot 的动作.

4. /var/log/secure : 登录系统的信息

5. /var/log/maillog : 记录 sendmail 及 pop 等相关讯息.

6. /var/log/cron : 记录 crontab 的相关讯息，定时器的信息

7. /var/log/dmesg : /bin/dmesg 会将这个档案显示出来, 它是开机时的画面讯息.

8. /var/log/xferlog : 记录那些位址来 ftp 拿取那些档案.

9. /var/log/messages : 系统大部份的讯息皆记录在此, 包括 login, check password , failed login, ftp, su 等.

Application 中定义level：

0: LOG_EMERG 紧急情况

1: LOG_ALERT 高优先级故障，例如数据库崩溃

2: LOG_CRIT 严重错误，例如硬件故障

3: LOG_ERR 错误

4: LOG_WARNING 警告

5: LOG_NOTICE 需要注意的特殊情况

6: LOG_INFO 一般信息

7: LOG_DEBUG 调试信息

kernel中定义level（使用printk函数设定level）：

0: KERN_EMERG 系統無法使用

1: KERN_ALERT 必須立即執行

2: KERN_CRIT 緊急狀態

3: KERN_ERR 錯誤狀態

4: KERN_WARNING 警告狀態

5: KERN_NOTICE 正常狀態且十分重要

6: KERN_INFO 報告

7: KERN_DEBUG debug-level訊息

3) 调用 syslogd 守护程序

syslog 守护程序是由 /etc/rc.d/init.d/syslog 脚本在运行级2下被调用的，缺省不使用选项。但有两个选项 -r 和 -h 很有用。

如果将要使用一个日志服务器，必须调用 syslogd -r。缺省情况下 syslog 不接受来自远程系统的信息。当指定 -r 选项，syslogd 将会监听从 514 端口上进来的 UDP 包。

如果还希望日志服务器能传送日志信息，可以使用 -h 标志。缺省时，syslogd 将忽略使其从一个远程系统传送日志信息到另一个系统的/etc/syslog.conf 输入项。

4) klogd 守护进程

klogd 守护进程获得并记录 Linux 内核信息。通常，syslogd 会记录 klogd 传来的所有信息，然而，如果调用带有 -f filename 变量的 klogd 时，klogd 就在 filename 中记录所有信息，而不是传给syslogd。当指定另外一个文件进行日志记录时，klogd 就向该文件中写入所有级别或优先权。klogd 中没有和 /etc/syslog.conf 类似的配置文件。使用 klogd 而避免使用 syslogd 的好处在于可以查找大量错误。如果有人入侵了内核，使用 klogd 可以修改错误。

5) 配置一个中央日志服务器

1. 编辑/etc/sysconfig/syslog文件。

在“SYSLOGD_OPTIONS”行上加“-r”选项以允许接受外来日志消息。如果因为关于其他机器的DNS记录项不够齐全或其他原因不想让中央日志服务器解析其他机器的FQDN，还可以加上“-x”选项。此外，你或许还想把默认的时间戳标记消息（--MARK--）出现频率改成比较有实际意义的数值，比如240，表示每隔240分钟（每天6次）在日志文件里增加一行时间戳消息。日志文件里的“--MARK--”消息可以让你知道中央日志服务器上的 syslog守护进程没有停工偷懒。按照上面这些解释写出来的配置行应该是如下所示的样子：

SYSLOGD_OPTIONS="-r-x-m240"

2. 重新启动syslog守护进程。

修改只有在syslog守护进程重新启动后才会生效。如果你只想重新启动syslog守护进程而不是整个系统，执行以下两条命令之一：

/etc/rc.d/init.d/syslog stop

/etc/rc.d/init.d/syslog start

/etc/rc.d/init.d/syslog restart