菜鸟学Linux 第038篇笔记 日志系统 syslogd,klogd
Linux上的日志系统
syslog 开源
syslog-ng 商业版
日志系统 syslog
syslog 服务
syslogd 进程
klogd 进程
配置文件:/etc/syslog.conf
klogd 内核,专门负责记录内核产生的日志信息
kernel --> 物理终端(/dev/console) --> /var/log/dmesg
# dmesg
# cat /var/log/dmesg
syslogd 系统,非内核产生的信息
/sbin/init
/var/log/messages 系统标准错误日志信息,
非内核产生引导信息;
各子系统所产生的信息
/var/log/maillog 邮件系统产生的日志信息
/var/log/secure 登录信息,该文件权限特殊,你懂得
日志需要滚动(日志切割)
messages messages.1 messages.2
logrotate (rotates, compresses, and mails system logs)
信息详细程度:日志级别
子系统:facility, 设施
动作: action
/etc/syslog.conf
配置文件定义格式: facility.priority action
facility,可以理解为日志的来源或设备,目前常用的facility有以下几种
auth # 认证相关的
authpriv # 权限,授权相关的
cron # 任务计划相关的
daemon # 守护进程相关的
kern # 内核相关的
lpr # 打印相关的
mail # 邮件相关的
mark # 标记相关的
news # 新闻相关的
security # 安全相关的
syslog # syslog 自己
user # 用户相关
uucp # unix to unix cp 相关的
local10 到 local17 # 用户自定义
* # *表示所有的facility
priority(log level)日志的级别,一般有以下几种级别(从低到高)
debug # 程序或系统的调试信息
info # 一般信息
notice # 不影响正常功能,需要注意的信息
warning/warn # 可能影响系统功能,需要提醒用户的重要事件
err/error # 错误信息
crit # 比较严重crit(暴击,临界)
alert # 必须马上处理alert
emerg/panic # emergency 会导致系统不可用的
* # 表示所有的日志级别
none # 跟*相反,表示啥也没有
action(动作)日志记录的位置
系统上的绝对路径 # 普通文件 如:/var/log/XXX
| # 管道 通过管道送给其它的命令处理
terminal # 终端 如:/dev/console
@HOST # 远程主机 如:@10.0.0.1
user # 系统用户 如: root
* # 登录到系统上的所有用户,
# 一般emerg级别的日志是这样定义的
-/PATH # 表示异步写入,没有表示同步写入到磁盘
定义格式e.g.
facility.priority action
mail.info /var/log/mail.log # 表示将mail相关的,级别为info及info以上级别的
# 信息记录到/var/log/mail.log文件中
auth.=info @10.0.0.1 # 表示将auth相关的,级别为info的信息记录到
# IP主机上,前提该主机接收其它主机发来的日志消息
user.!=error # 记录user相关的,不包括error级别的信息
user.!error # 与user.error相反
*.info # 记录所有facility,info及info以上级别消息
mail.* # 表示记录mail相关的所有级别信息
*.* # 你懂得
cron.info;mail.info # 多个日志来源可以用“;"隔开
cron,mail.info # 与cron.info;mail.info含义相同
mail.*;mail.!=info # 记录mail相关的所有级别,但不包括info级别
如果修改了syslog配置文件/etc/syslog.conf
建议使用service syslog reload 来重新加载配置文件
而非使用service syslog restart此种方式,有可能会丢失正常记录的日志信息
reload = SIGHUP
如要接收远程主机所发来的日志信息
由修改/etc/sysconfig/syslog文件
SYSLOGD_OPTIONS="-m 0" 将此项变为 SYSLOGD_OPTIONS="-r -m 0" 建议最好重启服务
小系统启用日志功能
/etc/rc.d/rc.sysinit
syslogd
klogd
/etc/syslog.conf
*.info;auth.none /var/log/messages
auth.* /var/log/secure
touch /var/log/secure
chmod 600 /var/log/secure
本文转自Winthcloud博客51CTO博客,原文链接http://blog.51cto.com/winthcloud/1880224如需转载请自行联系原作者
Winthcloud