syslog.conf 配置(2)

 

因为Debian下默认的好多log文件,所以准备修改syslog.conf将/var/log 目录的不必要的文件搞掉..

1: syslog.conf的介绍

    对于不同类型的Unix，标准UnixLog系统的设置，实际上除了一些关键词的不同，系统的syslog.conf格式是相同的。syslog采用可配置的、统一的系统登记程序，随时从系统各处接受log请求，然后根据/etc/syslog.conf中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是，为了防止入侵者修改、删除messages里的记录信息，可以采用用打印机记录或采用方式来挫败入侵者的企图。

2: syslog.conf的格式

    可以参考man [5] syslog.conf。这里是对syslog.conf的简单介绍。
    /etc/syslog.conf文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成，两者间用tab制表符进行分隔(使用空格间隔是无效的)。而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成，各保留字段间用分号分隔。如下行所示：

        类型.级别 [；类型.级别] `TAB` 动作

2.1 类型 

    保留字段中的“类型”代表信息产生的源头，可以是：

    auth    认证系统，即询问用户名和口令
    cron    系统定时系统执行定时任务时发出的信息
    daemon  某些系统的守护程序的syslog,如由in.ftpd产生的log
    kern    内核的syslog信息
    lpr     打印机的syslog信息
    mail    邮件系统的syslog信息
    mark    定时发送消息的时标程序
    news    新闻系统的syslog信息
    user    本地用户应用程序的syslog信息
    uucp    uucp子系统的syslog信息
    local0..7 种本地类型的syslog信息,这些信息可以又用户来定义
    *       代表以上各种设备

2.2 级别

    保留字段中的“级别”代表信息的重要性，可以是：

    emerg   紧急，处于Panic状态。通常应广播到所有用户；
    alert   告警，当前状态必须立即进行纠正。例如，系统数据库崩溃；
    crit    关键状态的警告。例如，硬件故障；
    err     其它错误；
    warning 警告；
    notice  注意；非错误状态的报告，但应特别处理；
    info    通报信息；
    debug   调试程序时的信息；
    none    通常调试程序时用，指示带有none级别的类型产生的信息无需送出。如*.debug;mail.none表示调试时除邮件信息外其它信息都送出。

2.3 动作

    “动作”域指示信息发送的目的地。可以是： 

    /filename   日志文件。由绝对路径指出的文件名，此文件必须事先建立；
    @host       远程主机； @符号后面可以是ip,也可以是域名，默认在/etc/hosts文件下loghost这个别名已经指定给了本机。
    user1,user2 指定用户。如果指定用户已登录，那么他们将收到信息；
    *           所有用户。所有已登录的用户都将收到信息。

3: 具体实例

    我们来看看/etc/syslog.conf文件中的实例： 

    ……
    *.err;kern.debug;daemon.notice;mail.crit    [TAB]   /var/adm/messages
    ……

    这行中的“action”就是我们常关心的那个/var/adm/messages文件，输出到它的信息源头“selector”是：
    *.err - 所有的一般错误信息；
    kern.debug - 核心产生的调试信息；
    daemon.notice - 守护进程的注意信息；
    mail.crit - 邮件系统的关键警告信息