Linux日志系统学习！！！

syslogd 的配置文件是/etc/syslog.conf  ，这个配置文件记录了 什么服务  在 什么等级下 需要记录在哪里！！！

  服务： 

syslog本身设置了一些服务：syslog本身有一些服务，你可以通过这些服务来存储系统的信息

    auth：与认证相关的机制  如ssh login su等

    cron:  与工作调度相关生成信息日志的地方

    dameon: 与各个daemon有关的信息

   kern:   与内核查收信息的地方

   lpr:  与打印相关的信息

   mail:  与邮件收发有关的信息记录都属于这个

   new: 与新闻服务器相关的东西

   syslog: 与syslogd本身程序相关的信息

 上面是syslog自身定制的一些服务，一些软件开发也可以调用上述服务来记录他们的软件。  比如: sendmail  postfix  dovecot 都是与邮件相关的软件，这些软件在设置日志文件记录时，都会主动调用syslog的 mail服务，所以这三个软件 在 syslog看来，就会是mail类型的服务了！！！

  上面各个服务产生的日志信息量是不一样的，为了每个服务的不同信息记录到不同的文件中，就有

  /etc/syslog.conf规范的了！！！

  信息等级  7个

      info       一些基本的信息

      notice    除了info还需要注意的一些信息

      warn     警示的信息，可能有问题，但不至于影响某个dameon运行信息， info  notice  warn是      告      知一些基本信息，不至于造成一些系统运行困扰

      error   一些重大错误信息，某些设置造成服务无法启动

      crit     比error还要严重的信息，这个错误已经很严重了

      albert   比crit还要严重，警告，已经很有问题的等级

     emerg(panic)  疼痛等级  指系统已经几乎要死机的状态！通常是硬件出现问题导致内核无法顺利运  行，就会出现这样的等级信息！

    另外还要两个等级  debu错误检测等级   none 不需要登录等级

  当我们想做一些错误检测或忽略掉某些服务的信息时，就用这两个

 

日志文件的安全设置：

   作为系统管理员有时候遇到日志文件有异常或者/var/log下面的文件被删除 

  chattr +a  /var/log/message 

  可以让日志文件只增加 不能删除 和修改

有时候 vi  vim  /var/log/message 日志文件 ：wq保存后 就不会被记录， 因为syslog会误判该文件已经被改动过，将导致syslogd不再写入该文件新的内容

  /etc/init.d/syslog  restart 即可 恢复正常记录

 由于+a属性让文件无法被删除和修改，所以logrotate日志文件轮替时，将无法移动改日志文件的文件名， 可以在logrotate配置文件中解决 也可以

  chattr -a  /var/log/message

本文出自 “kobebryant” 博客，转载请与作者联系！