日志管理-rsyslogd服务(/etc/rsyslog.conf 配置文件)

文章目录

    • 1. 日志文件的格式
    • 2. /etc/rsyslog.conf配置文件
    • 3. 服务名称 [连接符号] 日志等级 日志记录位置
      • 3.1 服务名称
      • 3.2 连接符号
      • 3.3 日志等级
      • 3.4 日志记录位置

1. 日志文件的格式

基本日志格式包含以下四列:

(1) 事件产生的时间
(2) 发生事件的服务器的主机名
(3) 产生事件的服务名或程序名
(4) 事件的具体信息

2. /etc/rsyslog.conf配置文件

rsyslog记录哪些日志,到底记录了什么样的日志,是通过这个/etc/rsyslog.conf配置文件来决定的。

配置文件中的一段语句:authpriv.* /var/log/secure
解释语句:认证相关服务.所有日志等级(服务名称[连接符号]日志等级日志记录的位置

小提示:
(1) * 代表任何等级,所有日志相关的服务,不管他是什么等级,全部都记录在这个目录中。
(2) 这个authpriv日志的名字是由rsyslog这个服务来定义的,不是Linux说的算,而是由rsyslog服务定义好的。 需要什么日志,把服务名写进去就行了。这个服务名称只在日志服务里面有效其他的地方是没有作用的。
(3) * 其实不是连接符,代表所有等级,这是一个特殊符号。
(4)日志等级有很多,比如常规日志,警告日志、疼痛日志,如果日志等级越低,记录的信息就越详细,等级越高:比如疼痛,服务器不死机,就不会记录,记录的日志量就会比较小。但是等级越高的日志,危害就越大,越需要优先处理。
小总结:
等级越高,记录的信息越少,优先处理的等级就越高,危害就越大。
等级越低,记录的信息越多,优先出路的等级就越低,危害就越小。

开始测试:

日志管理-rsyslogd服务(/etc/rsyslog.conf 配置文件)_第1张图片
这就是为什么message文件为什么重要了。
日志管理-rsyslogd服务(/etc/rsyslog.conf 配置文件)_第2张图片
结论: 只要知道了authpriv.* /var/log/secure 这个含义,就可以自己在配置文件中定义。
只要能看懂这个配置信息就够了,其他的都不需要手工改。只要知道日志是依赖这个配置文件来记录就行了。

 

3. 服务名称 [连接符号] 日志等级 日志记录位置

rsyslog日志服务配置语句:authpriv.*     /var/log/secure
组成部分: 服务名称 [连接符号] 日志等级 日志记录位置

下面就详细的解释这四部分内容的含义。
 

3.1 服务名称

 

服务名称 说明
auth 安全和认证相关消息(不推荐使用authpriv替代)
authpirv 安全和认证相关信息(私有的)
cron 系统定时任务cront和at产生的日志
daemon 和各个守护进程相关的日志
ftp ftp守护进程产生的日志
kern 内核产生的日志(不是用户进程产生的)
local0-local7 为本地使用预留的服务
lpr 打印产生的日志
mail 邮件收发信息
news 与新闻服务器相关的日志
syslog 有syslogd服务产生的日志信息(虽然服务名称已经改了rsyslogd服务,但是很多配置都还是沿用了syslogd的,这里并没有修改服务名)
user 用户等级类别的日志信息
uucp uucp子系统的日志信息,uucp时早期Linux系统进行数据传递的协议,后来也经常用在新闻组服务中。

 

3.2 连接符号

 

连接符号 说明
* 代表所有日志等级,比如:“authpriv.*"代表authpriv认证信息服务产生的日志,所有的日志等级都记录。
. 代表只要比后面的等级高的(包含该等级)日志都记录下来。比如:"cron.info"代表cron服务产生的日志,只要日志等级大于等于info级别,就记录。
.= 代表只记录所需等级的日志,其他等级的都不记录。比如:"*.=emerg"代表任何日志服务产生的日志,只要等级是emerg等级就记录。这种用法及少见,了解就好。
.! 代表不等于,也就是除了该等级的日志外,其他等级的日志都记录。

3.3 日志等级

 

等级名称 说明
debug 一般的调试信息说明
info 基本的通知信息
notice 普通信息,但是有一定的重要性
warning 警告信息,但是还不会影响到服务或系统的运行
err 错误信息,一般达到err等级的信息以及可以影响到服务或系统的运行了
crit 临界状况信息,比err等级还要严重
alert 警告状态信息,比crit还要严重。必须立即采取行动
emerg 疼痛等级信息,系统已经无法使用了

 

3.4 日志记录位置

 
日志文件的绝对路径,如"/var/log/secure"
系统设备文件,如"/dev/lp0"
转发给远程主机,如"@192.168.0.210:514"
用户名,如"root"
忽略或丢弃日志,如"~"

说明:(1)还可以设备文件名,比如说/dev/lp0打印机,不记录在硬盘里,直接打印出来,这个用的不多。
(2)有十台Linux服务器,拿出一台专门做日志服务器。所有计算机的日志都发给日志服务器,相当于搭建了一个日志服务器。
(3)还可以发给某一个用户,但是这个用户必须要在线,如果没在线发的东西就丢了。

你可能感兴趣的:(Linux,linux,centos)