Linux日志系统学习！！！

syslogd 的配置文件是/etc/syslog.conf  ，这个配置文件记录了 什么服务  在 什么等级下 须要记录在哪里！！！

  服务： 

syslog自己设置了一些服务：syslog自己有一些服务，你能够经过这些服务来存储系统的信息

    auth：与认证相关的机制  如ssh login su等

    cron:  与工做调度相关生成信息日志的地方

    dameon: 与各个daemon有关的信息

   kern:   与内核查收信息的地方

   lpr:  与打印相关的信息

   mail:  与邮件收发有关的信息记录都属于这个

   new: 与新闻服务器相关的东西

   syslog: 与syslogd自己程序相关的信息

 上面是syslog自身定制的一些服务，一些软件开发也能够调用上述服务来记录他们的软件。  好比: sendmail  postfix  dovecot 都是与邮件相关的软件，这些软件在设置日志文件记录时，都会主动调用syslog的 mail服务，因此这三个软件 在 syslog看来，就会是mail类型的服务了！！！

  上面各个服务产生的日志信息量是不同的，为了每一个服务的不一样信息记录到不一样的文件中，就有

  /etc/syslog.conf规范的了！！！

  信息等级  7个

      info       一些基本的信息

      notice    除了info还须要注意的一些信息

      warn     警示的信息，可能有问题，但不至于影响某个dameon运行信息， info  notice  warn是      告      知一些基本信息，不至于形成一些系统运行困扰

      error   一些重大错误信息，某些设置形成服务没法启动

      crit     比error还要严重的信息，这个错误已经很严重了

      albert   比crit还要严重，警告，已经颇有问题的等级

     emerg(panic)  疼痛等级  指系统已经几乎要死机的状态！一般是硬件出现问题致使内核没法顺利运  行，就会出现这样的等级信息！

    另外还要两个等级  debu错误检测等级   none 不须要登陆等级

  当咱们想作一些错误检测或忽略掉某些服务的信息时，就用这两个

 

日志文件的安全设置：

   做为系统管理员有时候遇到日志文件有异常或者/var/log下面的文件被删除 

  chattr +a  /var/log/message 

  可让日志文件只增长 不能删除 和修改

有时候 vi  vim  /var/log/message 日志文件 ：wq保存后 就不会被记录， 由于syslog会误判该文件已经被改动过，将致使syslogd再也不写入该文件新的内容

  /etc/init.d/syslog  restart 便可 恢复正常记录

 因为+a属性让文件没法被删除和修改，因此logrotate日志文件轮替时，将没法移动改日志文件的文件名， 能够在logrotate配置文件中解决 也能够

  chattr -a  /var/log/message