linux日志系统

syslog是一个被UNIX和Linux广泛使用的日志系统，Linux系统中大部分的日志文件都是通过它进行管理的。syslog的功能及配置、日志文件的查看和管理，以及syslog中默认配置的日志文件进行介绍。Linux系统内核和许多程序会产生各种错误信息、警告信息和其他的提示信息。这些信息对管理员了解系统的运行状态是非常有用的，所以应该把它们写到日志文件中去。而执行这个过程的程序就是syslog。syslog可以根据信息的来源以及信息的重要程度将信息保存到不同的日志文件中，默认的syslog配置下，日志文件通常都保存在“/var/log”目录下。syslog的守护进程为syslogd，系统启动时，默认会自动运行syslogd守护进程。

syslogd: 系统，非内核产生的信息

klogd：内核，专门负责记录内核产生的日志信息

syslog: 配置文件：/etc/syslog.conf

日志需要滚动(日志切割)：防止日志文件过大导致日志信息分析不方便

syslog的配置文件为：/etc/syslog.conf指定了日志的信息来源，级别和动作

配置文件义格式为: facility.priority action

syslog来源和动作

auth # 认证相关的

authpriv # 权限,授权相关的

cron # 任务计划相关的

daemon # 守护进程相关的

kern # 内核相关的

lpr # 打印相关的

mail # 邮件相关的

mark # 标记相关的

news # 新闻相关的

security # 安全相关的,与auth 类似

日志级别：

指的是信息详细程度

priority(log level)日志的级别,一般有以下几种级别(从低到高)

debug # 程序或系统的调试信息

info # 一般信息

notice # 不影响正常功能,需要注意的消息

warning/warn # 可能影响系统功能,需要提醒用户的重要事件

err/error # 错误信息

crit # 比较严重的

alert # 必须马上处理的

emerg/panic # 会导致系统不可用的

* # 表示所有的日志级别

none # 忽略所有消息

action(动作)日志记录的位置

syslog # syslog自己的

user # 用户相关的

uucp # unix to unix cp 相关的

local0 到 local7 # 用户自定义使用

* # *表示所有的facility

ogrotate ，就是将旧的 log 文件更名，然后建立一个空的 log 文件，如此一来，新的 log 文件将从零开始记录，然后只要将旧的 log 文件留下一段时间！ 旧的纪录 保存了一段时间没有问题，那么就可以让系统自动的将他删掉，否则占用硬盘空间。如图比如规定了message日志文件轮滚3次： 最初的日志文件   message 轮滚一次后       message  message1  

轮滚二次后       message  message1 message2 

轮滚三次后       message  message1 message2 messag

删除（如果再次轮滚，message3就会被删除，而message2就会变成message3，且系统会新建立一个message）

 注意，相同颜色的mssage表示的是一个内容的文件，只不过每次轮滚他的名字后面会改一次数字。

logrotate 的配置文件 /

etc/logrotate.conf 

/etc/logrotate.d/

logrotate.conf 才是主要的参数文件，logrotate.d 是一个目录， 该目录里面的所有文件都会被主动的读入/etc/logrotate.conf 当中来进行！另外，在 /etc/logrotate.d/ 里面的文件中，如果没有规定到的一些细部设定，则以/etc/logrotate.conf 的规定来指定为默认值！ 

[root@linux ~]# vi /etc/logrotate.conf # 底下是 "logrotate 的预设值，如果个别的文件设定了其它的参数，那么将以个别的文件设定为主，若该文件没有设定到的参数，则以这个档案的内容为默认值！