系统在运行过程中产生了很多的信息,这些信息是我们观察系统运行状况的一种途径及手段,同时也为我们提供了当发生故障时,定位故障发生所在位置的一种保障。
Linux中的日志系统有syslog和syslog-ng,syslog-ng 运行在redhat6上面,是syslog的升级版,本文主要介绍运行在redhat5上面的syslog。
syslog服务有两个进程:
1)syslogd:系统,专门负责记录非内核的其他设施所产生的日志,我们的系统控制权从内核转交给init之后所产生的信息都有syslogd记录
/sbin/init 所产生的信息位置:
/var/log/message:系统标准错误日志信息;非内核产生引导信息;各子系统产生的信息;
/var/log/maillog:邮件系统产生的日志信息
/var/log/secure:与安全相关的日志信息,不允许随便查看,其权限是600的
2)klogd:内核,专门负责记录内核产生的日志信息,内核所产生的信息具体位置在/var/log/demsg;其命令dmesg就是查看其中的内容的,也可以用cat /var/log/demsg 直接打开其文件进行查看。
syslog配置文件在:/etc/syslog.conf 如图:
日志文件不能过大,太大了不利于查看,管理起来也不方便,所以日志就要滚动,分为几个小的文件便于管理。也可以叫日志切割,可以根据大小、时间等进行切割。
配置文件定义格式为: facility(产生日志者). Priority(产生日志级别)action (如何处理)
facility,可以理解为日志的来源或设备目前常用的facility有以下几种:
auth # 认证相关的
authpriv # 权限,授权相关的
cron # 任务计划相关的
daemon # 守护进程相关的
kern # 内核相关的
lpr # 打印相关的
mail # 邮件相关的
mark # 标记相关的
news # 新闻相关的
security # 安全相关的,与auth 类似
syslog # syslog自己的
user # 用户相关的
uucp # unix to unix cp 相关的
local0 到 local7 # 用户自定义使用
* # *表示所有的facility
priority(log level)日志的级别,一般有以下几种级别(从低到高)
debug # 程序或系统的调试信息
info # 一般信息
notice # 不影响正常功能,需要注意的消息
warning/warn # 可能影响系统功能,需要提醒用户的重要事件
err/error # 错误信息
crit # 比较严重的
alert # 必须马上处理的
emerg/panic # 会导致系统不可用的
* # 表示所有的日志级别
none # 跟* 相反,表示啥也没有
action(动作)日志记录的位置
系统上的绝对路径 # 普通文件 如: /var/log/xxx
| # 管道 通过管道送给其他的命令处理
终端 # 终端 如:/dev/console
@HOST # 远程主机 如: @10.0.0.1
用户 # 系统用户 如: root
* # 登录到系统上的所有用户,一般emerg级别的日志是这样定义的
定义格式例子:
mail.info /var/log/mail.log # 表示将mail相关的,级别为info及
# info以上级别的信息记录到/var/log/mail.log文件中
auth.=info @10.0.0.1 # 表示将auth相关的,基本为info的信息记录到 10.0.0.1主机上去
# 前提是10.0.0.1要能接收其他主机发来的日志信息
user.!=error # 表示记录user相关的,不包括error级别的信息
user.!error # 与user.error相反
*.info # 表示记录所有的日志信息的info级别
mail.* # 表示记录mail相关的所有级别的信息
*.* # 记录所有日志信息的所有级别
cron.info;mail.info # 多个日志来源可以用";" 隔开
cron,mail.info # 与cron.info;mail.info 是一个意思
mail.*;mail.!=info # 表示记录mail相关的所有级别的信息,但是不包括info级别的
补充:清空日志信息的命令是
#echo > 日志文件
例子:要清空/var/log/message下的日志文件内容
命令 #echo > /var/log/message