rsyslog简单介绍

• rsyslog介绍

rsyslog可以理解为增强版的syslog，在syslog的基础上扩展了很多其他功能，如数据库支持(Mysql,PostgreSQL、Oracle等)、日志内容筛选、定义日志格式模板等。除了默认的udp协议外，rsyslog还支持tcp协议来接收日志，可以yum安装，也可以源码安装

• rsyslog优点

1. 防止系统崩溃无法获取系统日志分享崩溃原因，用rsyslog可以把日志传输到远程的日志服务器上

2. 使用rsyslog日志可以减轻系统压力，因为使用rsyslog可以有效减轻系统的磁盘IO

3. rsyslog使用tcp传输非常可靠，可以对日志进行过滤，提取出有效的日志,rsyslog是轻量级的日志软件，在大量日志写的情况下，系统负载基本上在0.1以下

• 日志信息等级
  

level	说明
none	不需登录等级
debug	调试信息
info	正常信息，仅是一些基本的信息说明而已。
notice	比info还需要被注意到的一些信息内容
warning,warn	警告信息，可能有些问题，但是还不至于影响到某个服务运作的信息
err,error	一些重大的错误信息
crit	临界状态，比error还要严重的错误信息，橙色警报
alert	红色警报，已经很有问题的等级，比crit还要严重
emerg,panic	疼痛等级，意指系统已经要宕机的状态！很严重的错误信息了。通常大概只有硬件出问题，导致整个核心无法顺利工作，就会出现这样的等级信息。

• 设施类别

facility：设施，从功能或程序上对日志进行分类，并由专门的工具记录其日志

facility	说明
auth	主要与认证相关的机制，例如login，ssh，su等
authpriv	主要于授权相关的机制。
cron	就是例行性工作排程cron/at等产生信息记录的地方。
daemon	于各个daemon相关的的讯息
kern	就是核心（kernel）产生的讯息的地方
lpr	于打印相关的信息
mail	只要与邮件收发有关的信息记录都属于这个
mark	于防火墙相关的
news	于新闻组服务器有关的东西
security	于安全相关
syslog	就是syslog这个程序本身产生的信息
user	用户
uucp	unix to unix copy
local0-local7	8个用户自定义的设施

• 通配机制

通配符	说明
.	代表【比后面还要高的等级（含该等级）都被记录下来】的意思；例如：mail.info代表只要是mail信息，而且该信息等级高于info（含info）时，就会被记录下来的意思。
.=	代表所需要的等级就是后面接的等级而已，其他的不要。例如：main.=info代表的只要是mail信息，而且该信息等于info级别，就会被记录下来。
.!	代表不等于（取反），亦是除了该等级外的其他等级都记录。
*	所有；例如：*.info代表所有设施的info级别
,	列表；例如：mail.notice,news.info代表mail的notice级别及news的info级别。 mail，news.info代表mail的info及news的info。

• 日志的输出位置

输出位置	说明
文件	如/var/log/messages
打印机或其他	如/dev/lp0这个打印机装置
使用者名称	显示给用户。例如：*代表目前在线的所有人
远程主机	例如：@172.16.100.1(远程日志服务器。@代表通过UCP协议传，@@代表通过TCP协议传)
管道	|command

• 日志信息格式

时间         主机        进程（PID）    事件

• ryslog升级

RHEL/CENTOS系统默认安装的是V5版本的rsyslog。如需升级。请执行如下代码。

wget -P /etc/yum.repos.d/ http://rpms.adiscon.com/v8-stable/rsyslog.repo
yum -y install rsyslog
或者 yum -y update rsyslog