日志管理-rsyslogd服务（/etc/rsyslog.conf 配置文件）

1. 日志文件的格式

基本日志格式包含以下四列：

（1） 事件产生的时间
（2） 发生事件的服务器的主机名
（3） 产生事件的服务名或程序名
（4） 事件的具体信息

2. /etc/rsyslog.conf配置文件

rsyslog记录哪些日志，到底记录了什么样的日志，是通过这个/etc/rsyslog.conf配置文件来决定的。

配置文件中的一段语句：authpriv.* /var/log/secure
解释语句：认证相关服务.所有日志等级（服务名称[连接符号]日志等级 ） 日志记录的位置

小提示：
(1) * 代表任何等级，所有日志相关的服务，不管他是什么等级，全部都记录在这个目录中。
(2) 这个authpriv日志的名字是由rsyslog这个服务来定义的，不是Linux说的算，而是由rsyslog服务定义好的。 需要什么日志，把服务名写进去就行了。这个服务名称只在日志服务里面有效其他的地方是没有作用的。
(3) * 其实不是连接符，代表所有等级，这是一个特殊符号。
(4)日志等级有很多，比如常规日志，警告日志、疼痛日志，如果日志等级越低，记录的信息就越详细，等级越高：比如疼痛，服务器不死机，就不会记录，记录的日志量就会比较小。但是等级越高的日志，危害就越大，越需要优先处理。
小总结：
等级越高，记录的信息越少，优先处理的等级就越高，危害就越大。
等级越低，记录的信息越多，优先出路的等级就越低，危害就越小。

开始测试：

这就是为什么message文件为什么重要了。

结论： 只要知道了authpriv.* /var/log/secure 这个含义，就可以自己在配置文件中定义。
只要能看懂这个配置信息就够了，其他的都不需要手工改。只要知道日志是依赖这个配置文件来记录就行了。

 

3. 服务名称 [连接符号] 日志等级 日志记录位置

rsyslog日志服务配置语句：authpriv.*     /var/log/secure
组成部分： 服务名称 [连接符号] 日志等级 日志记录位置

下面就详细的解释这四部分内容的含义。
 

3.1 服务名称

 

服务名称	说明
auth	安全和认证相关消息（不推荐使用authpriv替代）
authpirv	安全和认证相关信息（私有的）
cron	系统定时任务cront和at产生的日志
daemon	和各个守护进程相关的日志
ftp	ftp守护进程产生的日志
kern	内核产生的日志（不是用户进程产生的）
local0-local7	为本地使用预留的服务
lpr	打印产生的日志
mail	邮件收发信息
news	与新闻服务器相关的日志
syslog	有syslogd服务产生的日志信息（虽然服务名称已经改了rsyslogd服务，但是很多配置都还是沿用了syslogd的，这里并没有修改服务名）
user	用户等级类别的日志信息
uucp	uucp子系统的日志信息，uucp时早期Linux系统进行数据传递的协议，后来也经常用在新闻组服务中。

 

3.2 连接符号

 

连接符号	说明
*	代表所有日志等级，比如：“authpriv.*"代表authpriv认证信息服务产生的日志，所有的日志等级都记录。
.	代表只要比后面的等级高的（包含该等级）日志都记录下来。比如："cron.info"代表cron服务产生的日志，只要日志等级大于等于info级别，就记录。
.=	代表只记录所需等级的日志，其他等级的都不记录。比如："*.=emerg"代表任何日志服务产生的日志，只要等级是emerg等级就记录。这种用法及少见，了解就好。
.!	代表不等于，也就是除了该等级的日志外，其他等级的日志都记录。

3.3 日志等级

 

等级名称	说明
debug	一般的调试信息说明
info	基本的通知信息
notice	普通信息，但是有一定的重要性
warning	警告信息，但是还不会影响到服务或系统的运行
err	错误信息，一般达到err等级的信息以及可以影响到服务或系统的运行了
crit	临界状况信息，比err等级还要严重
alert	警告状态信息，比crit还要严重。必须立即采取行动
emerg	疼痛等级信息，系统已经无法使用了

 

3.4 日志记录位置

 
日志文件的绝对路径，如"/var/log/secure"
系统设备文件，如"/dev/lp0"
转发给远程主机，如"@192.168.0.210:514"
用户名，如"root"
忽略或丢弃日志，如"~"

说明：（1）还可以设备文件名，比如说/dev/lp0打印机，不记录在硬盘里，直接打印出来，这个用的不多。
（2）有十台Linux服务器，拿出一台专门做日志服务器。所有计算机的日志都发给日志服务器，相当于搭建了一个日志服务器。
（3）还可以发给某一个用户，但是这个用户必须要在线，如果没在线发的东西就丢了。