System Monitoring之"系统日志"

 一、日志
/var/log/messages:记录了大多数的系统日志消息
/var/log/secure：验证方面相关的日志，还有xinetd服务的日志
/var/log/vsftpd.log：FTP(vsftpd)的日志
/var/log/maillog：邮件相关的日志

二、记录日志的服务
1、大部分daemon守护进程会把消息把给syslogd进程。
2、Kernel相关的消息由klogd进程进行管理。

三、syslogd与klogd的配置都存放在/etc/syslog.conf文件中
1、语法：facility.priority和log_location
facility指明要记录哪种服务的日志
priority指明优先等级
log_location指明日志的位置。若指明位置的路径前有"-"，则表示此日志要先通过缓冲区。
2、facilities
authpriv:security/authorization messages
cron    :clock daemon (atd and crond)
kern    :kernel messages
lpr    :printing system
mail    :mail system
news    :news system
syslog    :internal syslog messages
3、priorities
debug    :debugging information
info    :general information messages
notice    :normal,but significant,condition
warning    :warning messages
err    :error condition
crit    :critical condition
alert    :immediate action required
emerg    :system no longer available

四、syslogd的高级配置
1、操作符
mail.info    :mail messages with info and higher priority
mail.=info    :mail messages with exact info
mail.=!info    :mail messages except those with info
mail,cron.info    :info messages from mail and cron
2、特殊的log_location
Comma-separated list of users    ：指明要将日志以邮件的方式发送给用户，若是多个用户则用逗号隔开。比如cat,dog。
Remote machine(@hostname)    ：指明要将日志存放到另一台计算机上,机器名前标上"@"符号。要注意的是，此时目标计算机的/etc/sysconfig/syslog文件中SYSLOGD_OPTIONS键要再加上值"-r"。

五、让监控日志的程序每小时执行一次，而不是每天才执行一次
mv /etc/cron.daily/00-logwatch /etc/cron.hourly

六、记录系统活动的报表
1、安装sysstat这个RPM包能够自动配置cron（配置文件为/etc/cron.d/sysstat），使cron能够记录系统的活动事件。
2、/etc/cron.d/sysstat配置文件中有两行配置：第一行表明让/usr/lib/sa/sa1程序每隔10分钟运行一次产生系统活动的报表；每二行表示让/usr/lib/sa2程序每天定时运行一次产生系统活动的报表。
3、sa2其实就是将sa1产生出来的资讯整理成Daily，即日报表。
4、/var/log/sa目录中记录着两种文件："sa<数字>"与"sar<数字>"。前者由/usr/lib/sa/sa1程序每隔十分钟产生，后者由/usr/lib/sa/sa2程序每隔一天产生。
5、sar:即“System Activity Reporting”，此命令用来查看当天每隔10分隔就记录一次的系统动作的资讯。