Linux-B-进阶-第1章-日志服务

---

目录（持续更新）

---

基础-第0章-安装
基础-第1章-基本操作
基础-第2章-磁盘及文件系统管理
基础-第3章-获得帮助
基础-第4章-用户及权限基础
基础-第5章-网络基本配置
基础-第6章-管道，重定向及文本处理
基础-第7章-系统启动详解

进阶-第1章-日志服务
进阶-第2章-DNS域名服务器
进阶-第3章-FTP文件共享服务
进阶-第4章-NFS文件共享服务
进阶-第5章-SMB文件共享服务
进阶-第6章-WEB服务Apache篇
进阶-第7章-电子邮件服务
进阶-第8章-Linux服务基础及管理

高级-第1章-LVM逻辑卷
高级-第2章-高级权限ACL
高级-第3章-RAID提升速度及冗余
高级-第4章-高级网络-网卡绑定，子端口
高级-第5章-SELinux安全系统基础
高级-第6章-IPTable防火墙基础
高级-第7章-Linux远程管理-SSH、VNC

---

第1章日志服务

---

第一节

• 日志：

    日志是系统用来记录系统运行时的一些相关信息的纯文本文件
  
    日志的目的是为了保存相关程序运行状态，错误等，为了对系统进行分析保存历史记录以及在出错时发现分析错误使用
  
    LINUX系统一般保存一下类型的日志：
  
        -内核信息
        -服务信息
        -应用程序信息
  

• rsyslog

    LINUX系统中来实现日志功能的服务称之为 rsyslog
  
    在CENTOS5及更早用的syslog，rsyslog是syslog的增强版本
  
    rsyslog一般默认会安装，并且被设置为自动启动，可以通过以下命令控制
  
        service rsyslog status
  
        service rsyslog start | stop restart
  
    rsyslog配置文件：
  
        /var/rsyslog.conf
  
    日志信息一般保存在：
  
        /var/log
    
    我们常用 tail -f logfile方法来实时监控日志文件
  

• Facility

    rsyslog通过Facility概念来定义日志消息的来源，以方便对日志分类
  
    Facility有以下几种
  
        -kern       内核消息
        -user       用户消息
        -mail       邮件系统消息
        -daemon     系统服务消息
        -auth       认证系统消息
        -syslog     日志自身消息
        -lpr        打印系统消息
        -authpriv   权限系统消息
        -cron       定时任务消息
        -news       新闻系统消息
        -uucp       uucp系统消息
        -ftp        ftp服务消息
        -locol0～locol7
  

• Priority / Severity Level

    除了日志来源外，对同一来源产生的日志消息，还进行优先级划分
    
        -Emergency  系统已经不可用
        -Alert      必须立即进行处理
        -Critical   严重错误
        -Error      错误
        -Warning    警告
        -Notice     正常信息，但是较为重要
        -Informational  正常信息
        -Debug      debug信息
  

• rsyslog配置

    rsyslog配置文件的规则如下：
    
        facility.prioriy    log_location
  
    如：
    
        mail.*      -/var/log/maillog   无论何种级别产生的mail日志都记录到该位置  
        
        “-”无需等待日志从缓存同步到硬盘，增加效率，但是断电后缓存内日志丢失
  
        *.info;mail.none;authpriv.none;cron.none    /var/log/messages  无论何种来源的info级别的日志都记录在该位置
  
    在rsyslog.conf中
  
        添加 kern.error   /var/log/kernel_error
  
    如果需要将日志发送至一个统一的日志服务器，则可以如下配置
  
        *.* @192.168.1.1    (用UDP协议发送)效率高
        *.* @@192.168.1.1   (用TCP协议发送)可靠