日志类型

linux日志分类及分级

1、日志类型：

    authpriv        安全认证

    cron              定时任务（at 和 cron)

    daemon        后台进程

    kern              内核

    mail              邮件系统

    syslog          日志服务

    lpr                打印

    news            新闻系统

    uucp            uucp系统

    local0~local7    自定义类型，系统保留，给其它用户或程序自定义使用

   lpr、news、uucp类型不常用，其它6种常用。

2、级别（由轻到重）：

    debug        排错信息

    info            正常信息

    notice        稍微注意信息

    warm         警告信息

    err             错误信息（error)

    crit            关键错误（critcal)

    alert          警报信息

    emerg       紧急信息（emergency）

3、日志服务

    日志服务在各版本变化

    5版本：syslog        配置文件：/etc/syslog.conf

    6版本：rsyslog       配置文件：/etc/rsyslog.conf

4、详解配置文件内容   

    .  ：代表『比后面还要高的等级都被记录下来』的意思，

    .=  ：代表所需要的等级就是后面接的等级而已， 其他的都不要！

    .!  ：代表不等于，亦即是除了该等级外的其他等级都记录。

例如：

      cron.none   对于cron类型日志不记录任何信息

      cron.=err   对于cron类型日志只记录err级别的信息

      cron.err    对于cron类型日志记录大于err级别的信息

      cron.!err   对于cron类型日志不记录err级别的信息，其他级别都记录

    对配置文件中的内容解释

   1)、 *.info;mail.none;authpriv.none;cron.none                /var/log/messages
            所有类型的级别高于正常信息（包含正常信息），除了mail、authpriv、cron类型，

            都记录到/var/log/messages
   2)、 # The authpriv file has restricted access.
        authpriv.*                                              /var/log/secure
        所有认证类型的任何级别信息都记录到/var/log/secure
   3)、 # Log all the mail messages in one place.
            mail.*                                                  -/var/log/maillog
            所有邮件类型的任何级别信息都记录到/var/log/maillog

   -/var/log/maillog  “-”表示先将信息保存到内存的buffer中，最后再写入/var/log/maillog

    4)、 # Save news errors of level crit and higher in a special file.
            uucp,news.crit                                          /var/log/spooler

            uucp,news类型的高于crit级别（包括crit级别）记录到/var/log/spooler

5、实例自定义sshd服务日志

    自定义sshd服务日志需要修改sshd的配置文件/etc/ssh/sshd_config和rsyslog的配置文件/etc/rsyslog.conf

1)、配置sshd的配置文件，自定义日志类型为local0

        [root@lnmp01 ~]# vim /etc/ssh/sshd_config
        #SyslogFacility AUTH
        SyslogFacility local0
        #SyslogFacility AUTHPRIV
        #LogLevel INFO

2)、配置日志服务rsyslog的配置文件，配置日志类型local0的日志存放位置/var/log/sshd1.log

        [root@lnmp01 ~]# vim /etc/rsyslog.conf
        # Save boot messages also to boot.log
        local7.*                                                /var/log/boot.log
        local0.*                                                /var/log/sshd1.log

3)、需要重启sshd和rsyslog服务，配置文件才会生效。重启rsyslog服务后，会在/var/log文件夹下生成 一个sshd1.log的文件。

        rsyslog服务重启前：

            [root@lnmp01 ~]# ls /var/log/sshd1.log
            ls: cannot access /var/log/sshd1.log: No such file or directory

重启sshd和rsystem服务：     

            [root@lnmp01 ~]# service sshd reload
            Reloading sshd:                                            [  OK  ]
            [root@lnmp01 ~]# service rsyslog reload

也可使用service sshd restart启启服务，restart与reload区别：restart直接重启服务，服务关闭后启动；而reload是平滑启动服务，不需要关闭服务，与服务连接的进程不会受到影响。

        rsyslog服务重启后：

            [root@lnmp01 ~]# ll /var/log/sshd1.log
            -rw-------. 1 root root 0 Dec 25 19:05 /var/log/sshd1.log

4)、验证配置sshd日志服务是否生效

        [c:\~]$ ssh 192.167.1.12
        Connecting to 192.167.1.12:22...
        Connection established.
        To escape to local shell, press 'Ctrl+Alt+]'.
        Last login: Fri Dec 25 19:24:58 2015 from 192.167.1.101

查看/var/log/sshd1.log文件

        [root@lnmp01 ~]# cat /var/log/sshd1.log
        Dec 25 19:24:18 lnmp01 sshd[2728]: Server listening on 0.0.0.0 port 22.
        Dec 25 19:24:18 lnmp01 sshd[2728]: Server listening on :: port 22.
        Dec 25 19:24:57 lnmp01 sshd[2731]: Accepted password for root from 192.167.1.101 port         64565 ssh2
        Dec 25 19:26:29 lnmp01 sshd[2761]: Failed password for root from 192.167.1.101 port             64576     ssh2
        Dec 25 19:26:33 lnmp01 sshd[2761]: Accepted password for root from 192.167.1.101 port         64576 ssh2