Linux上的日志系统：syslog

 

Linux上的日志系统：syslog

日志系统记录了系统天天发生的各类各样的事情，用户能够经过它来检查发生错误的缘由，或者寻找受到外来***时外来人员留下来的痕迹。日志的主要功能是审计和检测。它还能够实时地监控系统的状态、检测和追踪***者。

根据信息详细程序的不一样能够把日志分级别，就叫日志级别。

产生日志的子系统：facility,设施。这些子系统彼此之间既有联系或者又没有联系。定义哪一个子系统所产生的信息，以及级别，存储位置。

syslog服务有两个进程：syslogd和klogd 

syslogd：系统，专门负责记录非内核的其余设施所产生的日志

klogd:内核，专门负责记录内核产生的日志信息

内核所产生的信息具体位置在/var/log/demsg；其命令dmesg就是查看其中的内容的，也能够用cat /var/log/demsg 直接打开其文件进行查看。

咱们的系统控制权从内核转交给init以后所产生的信息都有syslogd记录

/sbin/init  所产生的信息位置：

/var/log/message:系统标准错误日志信息；非内核产生引导信息；各子系统产生的信息；

/var/log/maillog:邮件系统产生的日志信息

/var/log/secure:与安全相关的日志信息,不容许随便查看，其权限是600的

日志须要滚动：日志文件不能过大，太大了不利于查看，管理起来也不方便，因此日志就要滚动，分为几个小的文件便于管理。也能够叫日志切割,能够根据大小、时间等进行切割。

logrotate是负责日志切割的

linux系统上有一个专门完成任务计划，来完成日志滚动的，就是/etc/cron.daily/logrotate 脚本，此脚本能实现天天滚动一次。脚本内容以下：

 

此脚本的配置文件在/etc/logrotate.conf 内容以下图：

 

/etc/logrotate.d 目录下有许多定义每一个子系统滚动日志机制的，以下图：

 

syslog的配置文件是：/etc/syslog.conf

 

配置文件定义格式为: facility.priority  action  即谁产生的日志.哪一个级别产生的日志  产生的日志怎么办（如记录文件中）

 facility,能够理解为日志的来源或设备目前经常使用的facility有如下几种： 

    auth       # 认证相关的 

    authpriv   # 权限,受权相关的 

    cron       # 任务计划相关的 

    daemon     # 守护进程相关的 

    kern       # 内核相关的 

    lpr       # 打印相关的 

    mail      # 邮件相关的 

    mark      # 标记相关的 

    news      # 新闻相关的 

    security  # 安全相关的,与auth 相似  

    syslog   # syslog本身的 

    user         # 用户相关的 

    uucp         # unix to unix cp 相关的 

    local0 到 local7  # 用户自定义使用 

    *         # *表示全部的facility 

 

 priority(log level)日志的级别,通常有如下几种级别(从低到高) 级别越低产生的信息越详细

    debug           # 程序或系统的调试信息 

    info            # 通常信息

    notice          # 不影响正常功能,须要注意的消息 

    warning/warn    # 可能影响系统功能,须要提醒用户的重要事件 

    err/error       # 错误信息 

    crit            # 比较严重的 

    alert           # 必须立刻处理的 

    emerg/panic     # 会致使系统不可用的 

    *               # 表示全部的日志级别 

    none            # 跟* 相反,表示啥也没有 

     

 action(动做)日志记录的位置 

    系统上的绝对路径    # 普通文件 如： /var/log/xxx 

    |                   # 管道  经过管道送给其余的命令处理 

    终端                # 终端   如：/dev/console 

    @HOST               # 远程主机 如： @10.0.0.1      

    用户                # 系统用户 如： root 

    *                   # 登陆到系统上的全部用户，通常emerg级别的日志是这样定义的 

定义格式例子： 

mail.info   /var/log/mail.log   # 表示将mail相关的,级别为info及info以上级别的信息记录到/var/log/mail.log文件中 

auth.=info  @10.0.0.1         # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去，前提是10.0.0.1要能接收其余主机发来的日志信息 

  

    user.!=error                  # 表示记录user相关的,不包括error级别的信息 

user.!error                   # 与user.error相反 

*.info                        # 表示记录全部的日志信息的info级别 

mail.*                        # 表示记录mail相关的全部级别的信息 

*.*                           # 记录全部日志信息的全部级别

cron.info;mail.info           # 多个日志来源能够用";" 隔开 

cron,mail.info                # 与cron.info;mail.info 是一个意思 

mail.*;mail.!=info            # 表示记录mail相关的全部级别的信息,可是不包括info级别的 

如本身想定义日志格式能够编辑/etc/syslog.conf里面的内容，编辑以后要从新启动服务（service syslog restart）也能够用service syslog reload 不用重启就能从新读取其配置文件并让其生效。通常状况下不建议重启服务。