linux7配置syslog,linux学习-centos7上配置rsyslog

在centos7中，默认的日志系统是rsyslog，它是一个类unix计算机系统上使用的开源工具，用于在ip网络中转发日志信息。rsyslog采用模块化设计，是syslog的替代品。rsyslog具有如下特点：

实现了基本的syslog协议。

直接兼容syslogd的syslog.conf配置文件

在同一台机器上支持多个rsyslogd进程

丰富的过滤功能，可将消息过滤后再转发

灵活的配置选项，配置文件中可以写简单的逻辑判断

增加了重要的功能，如使用tcp进行消息传输

有现成的前端Web展示程序。

默认安装的ryslog软件包提供的守护进程是rsyslog,它是一项系统的基础服务。应该设置为开机运行，由systemd启动的。systemctl enable rsyslog

systemctl start rsyslog

守护进程rsyslog在启动时会读取其配置文件。管理隐患可以通过编辑/etc/rsyslog.conf、/etc/rsyslog.d/*.conf和/etc/sysconfig/rsyslog来配置rsyslog的行为。/etc/sysconfig/rsyslog文件用于配置守护进程的运行参数，/etc/rsyslog.conf是rsyslog的主配置文件。

rsyslog的配置文件/etc/rsyslog.conf的结构如下：

全局命令(Global dirctives):设置全局参数、如主消息尺寸、加载扩展模块等

模版(Templates):指定记录的消息格式，也用于动态文件名称生成

输出通道(Output chananels):对用户期望的消息输出进行预定义。

规则(Rules)【selector +action】:指定消息规则。在规则中可以引用之前的定义模版和输出通道

以#开始的行为注释，所有空行将被忽略

规则配置每一行的格式如下：facility.priority     action

设备,级别         动作

设备字段说明：

auth        –pam产生的日志

authpriv    –ssh,ftp等登录信息的验证信息

cron        –时间任务相关

ftp             -FTP守护进程的信息

kern        –内核

lpr         –打印

mail        –邮件

mark(syslog)–rsyslog服务内部的信息,时间标识

news        –新闻组

user        –用户程序产生的相关信息

uucp        –unix to unix copy, unix主机之间相关的通讯

local 1~7   –自定义的日志设备

级别字段说明

ebug       –有调式信息的，日志信息最多

info        –一般信息的日志，最常用

notice      –最具有重要性的普通条件的信息

warni