日志系统syslog服务

日志系统：系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。类似于生活中的日记

有的是默认的系统日志文件，有的仅用于安全消息，有的记载 cron 任务的日志。 当你在试图诊断和解决系统问题时，如试图载入内核驱动程序或寻找对系统未经授权的使用企图时，日志文件会很有用。本节讨论要到哪里去寻找日志文件，如何查看日志文件，以及在日志文件中查看什么。 某些日志文件被叫做 syslogd 的守护进程控制。被 syslogd 维护的日志消息列表可以在 /etc/syslog.conf 配置文件中找到。

 产生日志的子系统：facility, 定义哪个子系统所产生的信息，还要记录多大级别及以上的所有级别信息，还有指定信息存储的位置

linux环境下的几种日志文件

       syslog：升级到是一种syslog-ng，是开源版。

 syslog:Linux每一个程序都可以产生日志，自己进行记录，记录的位置。鉴于每个程序产生的日志信息的方式不同，所以linux系统专门创建了一个程序，负责统一记录各程序产生的日志信息。 所以syslog是一种服务，专门提供记录日志的功能，可以把每个程序理解成子系统，事实上未必所有程序都使用，只是系统上常见的程序会使用

syslog服务本身有两个进程syslogd和klogd

syslogd：负责记录非内核产生的信息

Klogd：负责内核所产生的信息，配置文件/etc/syslog.conf

        流程：kernel --> 物理终端(/dev/console) --> /var/log/dmesg

            # dmesg

            # cat /var/log/dmesg 这两种方式可以查看内核初始化的信息

/sbin/init 

/var/log/messages: 系统标准错误日志信息；非内核产生引导信息；各子系统产生的信息；

/var/log/maillog: 邮件系统产生的日志信息；

/var/log/secure: 与安全相关的日志信息

/var/log/messages

负责日志切割：logrotate 

linux系统上有一个专门完成任务计划，来完成日志滚动 查看日志让滚动的设置信息

 

logrotate的配置文件

系统日志会产生片段，定义每一个子系统所产生的日志滚动机制  

/var/log/secure：

任何一个用户登陆时产生的登陆信息，用户名，密码，及登陆时间等信息

   

    配置文件定义格式为: facility.priority        action 

 facility,可以理解为日志的来源或设备目前常用的facility有以下几种： 

    auth                 # 认证相关的 

    authpriv             # 权限,授权相关的 

    cron                 # 任务计划相关的 

    daemon               # 守护进程相关的 

    kern                 # 内核相关的 

    lpr                  # 打印相关的 

    mail                 # 邮件相关的 

    mark                 # 标记相关的 

    news                 # 新闻相关的 

    security             # 安全相关的,与auth 类似  

    syslog               # syslog自己的 

    user                 # 用户相关的 

    uucp                 # unix to unix cp 相关的 

    local0 到 local7       # 用户自定义使用 

    *                    # *表示所有的facility 

 

 priority(log level)日志的级别,一般有以下几种级别(从低到高) 

    debug                 # 程序或系统的调试信息 ，排除错误时使用

    info                  # 一般信息

    notice                # 不影响正常功能,需要注意的消息 

    warning/warn          # 可能影响系统功能,需要提醒用户的重要事件 

    err/error             # 错误信息 

    crit                  # 比较严重的 

    alert                 # 必须马上处理的 

    emerg/panic           # 会导致系统不可用的 

    *                     # 表示所有的日志级别 

    none                  # 跟* 相反,表示啥也没有 

     

 action(动作)日志记录的位置 

    系统上的绝对路径       # 普通文件 如： /var/log/xxx 

    |                      # 管道  通过管道送给其他的命令处理 

    终端                   # 终端   如：/dev/console 

    @HOST                  # 远程主机 如： @10.0.0.1      

    用户                   # 系统用户 如： root 

    *                      # 登录到系统上的所有用户，一般emerg级别的日志是这样定义的 

   

定义格式例子： 

mail.info   /var/log/mail.log    # 表示将mail相关的,级别为info及 

                                 # info以上级别的信息记录到/var/log/mail.log文件中 

auth.=info  @10.0.0.1            # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去 

                                 # 前提是10.0.0.1要能接收其他主机发来的日志信息 

user.!=error                     # 表示记录user相关的,不包括error级别的信息 

user.!error                      # 与user.error相反 

*.info                           # 表示记录所有的日志信息的info级别 

mail.*                           # 表示记录mail相关的所有级别的信息 

*.*                              # 你懂的. 

cron.info;mail.info              # 多个日志来源可以用";" 隔开 

cron,mail.info                   # 与cron.info;mail.info 是一个意思 

mail.*;mail.!=info               # 表示记录mail相关的所有级别的信息,但是不包括info级别的 

 例：  *.info;mail.none;authpriv.none;cron.none ：除了mail，authpriv，cron，以外info及info以上的级别

authpriv.* ：跟用户授权相关的

可以手动编译日志格式：

    

改变日志是后，执行

让服务不用重启，就可以重读配置文件，因为重启日志服务时，还有进程执行产生日志信息，所有建议此种方式进行重读，