linux rsyslog配置远程,rsyslog常用配置

近期在思考一种简单的系统日志统一分析监控方案。在开始后面的内容之间先说下rsyslog，rsyslog目前是redhat、Ubuntu等常见linux发行版上自带的日志管理软件，其配置也比较简单。其主配置文件是/etc/rsyslog.conf 。

一、日志类型和级别

1、日志设备(可以理解为日志类型)auth –pam产生的日志

authpriv –ssh,ftp等登录信息的验证信息

cron –时间任务相关

kern –内核

lpr –打印

mail –邮件

mark(syslog)–rsyslog服务内部的信息,时间标识

news –新闻组

user –用户程序产生的相关信息

uucp –unix to unix copy, unix主机之间相关的通讯

local 1~7 –自定义的日志设备

2、日志级别debug –有调式信息的，日志信息最多

info –一般信息的日志，最常用

notice –最具有重要性的普通条件的信息

warning –警告级别

err –错误级别，阻止某个功能或者模块不能正常工作的信息

crit –严重级别，阻止整个系统或者整个软件不能正常工作的信息

alert –需要立刻修改的信息

emerg –内核崩溃等严重信息

none –什么都不记录

从上到下，级别从低到高，记录的信息越来越少

3、日志连接

日志设备(类型).(连接符号)日志级别，构成日志处理方式(action)。.xxx: 表示大于等于xxx级别的信息

.=xxx：表示等于xxx级别的信息

.!xxx