syslog是linux系統中預設的日誌守護程序,預設的syslog配置檔案是/etc/syslog.conf檔案。程式、守護程序和核心提供了訪問系統的日誌資訊。任何希望生成日誌資訊的程式都可以向syslog介面呼叫產生該資訊。
幾乎所有的網路裝置都可以通過syslog協議,將日誌資訊通過udp方式傳送到遠端的伺服器,而遠端的伺服器通過syslogd監聽udp的514埠,並且根據syslog.conf配置檔案中的配置進行處理,接受訪問系統的日誌資訊,把指定的事件寫入到特定的檔案中,供後台資料庫管理和響應之用。它意味著我們可以讓任何事件都登入到一台或者多台伺服器上,以備後台資料庫用off-line也就是離線的方式來分析遠端裝置的事件。
而/etc/syslog.conf使用facility.level action的方式,而facility.level為選擇條件,它本身是兩個字段,之間用乙個小數點分割,前乙個欄位是乙個服務,後乙個欄位是乙個優先順序。選擇條件其實是對訊息型別的一種分類,這種分類便於人們把不同型別的訊息傳送到不同的地方。在同乙個syslog配置上允許出現乙個以上的選擇條件,但是必須使用分號隔開。而action欄位所表示的活動具有許多靈活性,特別是我們可以使用管道來使得syslogd生成後處理資訊。
通常facility指的是syslog可以檢測的功能,其中kern指的是核心資訊,它通過klogd來傳送,而user是使用者程序,而mail是郵件,而daemon是後台程序,而authpriv是授權資訊,而syslog是系統日誌,而lpr是列印資訊,而new是新聞組資訊,而uucp則是由uucp產生的資訊,而cron則是計畫和任務資訊,而mark則是由syslog內部功能用於生成時間戳。而local0-7與自定義程式使用,比如使用local5表示ssh功能。而*表示出了mark之外的所有功能。
其中level指的是syslog的優先順序,其中emerg或者panic表示系統不可用,而alert表示需要立即被修改的條件,而crit表示阻止某些工具或者子系統功能實現的錯誤條件,err表示阻止工具或者某些子系統部分功能實現的錯誤條件,而warning是警告訊息,而notice則是普通資訊,而info則是通知性訊息。
syslog的守護程式是由/etc/rc.d/init.d/syslog指令碼被呼叫啟動的,預設不使用選項。如果將要使用乙個日誌伺服器,必須呼叫syslogd -r,預設情況下syslog不接受來自遠端系統的訊息。當指定了-r選項後,syslogd會監聽從514埠上進來的udp包。
如果還希望日誌伺服器能夠傳送日誌訊息,則可以使用-h標識。預設時,syslogd將忽略使其從乙個遠端系統傳送日誌訊息到另乙個系統的/etc/syslog.conf輸入項。
linux系統日誌syslog 簡介
linux上的日誌系統由下邊的服務管理。syslog syslog ng 開源 syslog服務 由兩個程序共同管理 syslogd 系統,非核心產生的資訊 klogd 核心,專門負責記錄核心產生的日誌資訊 kernel 物理終端 dev console var log dmesg 核心初始化,執行...
Linux 使用syslog記錄除錯資訊
1 有三個函式 openlog syslog closelog 2 一般的log資訊都在作業系統的 var log messages這個檔案中儲存著,但是ubuntu中是在 var log syslog檔案中的。3 syslog的工作原理 1 作業系統中有乙個守護程序syslogd 開機執行,關機時...
Linux系統日誌配置遠端Syslog採集
本文將指引你 如何對linux系統日誌進行採集,並通過syslog協議,自動實時的傳送到遠端的集中日誌分析中心,便於集中式的日誌儲存和管理,提高it的運維效率。第一步 建立liunx系統日誌採集配置 新建rsyslog的子配置檔案,他通常在 etc rsyslog.d下,需要 etc rsyslog...