Syslog日志中心服务(centos)

SYSLOG服务
linux依旧使用syslogd作为日志监控进程,而在主流的linux发行版中依旧使用sysklog这个比较老的日志服务器套件。

syslog.conf内格式:

facility.level action
设备.优先级 动作
facility.level 字段也被称为seletor(选择条件),选择条件和动作之间用空格或tab分割开。

服务器1(日志服务器):kinggoo.com

服务器2:tscccn.com

服务器1上设置如下:

请将防火墙关掉,或者允许514端口通过syslog的守护进程要用到514端口

cat  /etc/sysconfig/syslog

# Options to syslogd
# -m 0 disables 'MARK' messages.
# -r enables logging from remote machines
# -x disables DNS lookups on messages recieved with -r //禁用掉dns记录项不够齐全或其他的日志中心的日志
# See syslogd(8) for more details
#  
SYSLOGD_OPTIONS="-r -x -m 180"
# 加 -r 选项以允许接受外来日志消息
# 加 -x 禁用掉dns记录项不够齐全或其他的日志中心的日志
# 加 -m 修改syslog的内部mark消息写入间隔时间(0为关闭)。例如-m 180,表示每隔180分钟(每天8次)在日志文件里增加一行时间戳消息
# 加 -h 默认情况下,syslog不会发送从远端接受过来的消息到其他主机,而使用该选项,则把该开关打开,所有接受到的信息都可根据syslog.conf中定义的@主机转发过去。
# Options to klogd
# -2 prints all kernel oops messages twice; once for klogd to decode, and
#    once for processing with 'ksymoops'
# -x disables all klogd processing of oops messages entirely
# See klogd(8) for more details
KLOGD_OPTIONS="-x"
#
SYSLOG_UMASK=077
# set this to a umask value to use for all log files as in umask(1).
# By default, all permissions are removed for "group" and "other". 

接着向/etc/syslog.conf内写入(用来保存日志的,这个可以根据情况自己设定)

*.* /var/log/local4messages

重新启动syslog守护进程。修改只有在syslog守护进程重新启动后才会生效。如果你只想重新启动syslog守护进程而不是整个系统,在Centos机器上,执行以下两条命令:

service  syslog restart

或(两条作用相同)

/etc/rc.d/init.d/syslog stop
/etc/rc.d/init.d/syslog start 
/etc/rc.d/init.d/syslog restart 

服务器2

在有关设置行的操作动作部分用一个“@”字符指向中心日志服务器。下面这种配置的时候,在日志服务器上就可以看到对方的一下日志信息了比如添加用户等

这个时候就可以参考一下本文中的“facility”部分

cat  /etc/syslog.conf

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure
####这里是重点,在里可以设置一些级别等等,不然在就产生双份的日志了
authpriv.*  @服务器1
# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog
# Log cron stuff
cron.*                                                  /var/log/cron
# Everybody gets emergency messages
*.emerg                                                 *
# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler
# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log
# 写成这样就是把所有的信息都同步过去
*.* @服务器1

这样在服务器1的/var/log/local4messages这个日志文件中就可以看到对方的操作了!

syslog还有很多有意思的功能,比如可以让某个用户窗口显示日志等等

 

参考内容:

/etc/syslog.conf    根据如下的格式定义规则:
action
设备.优先级 动作 字段也被称为seletor(选择条件),选择条件和动作之间用空格或tab分割开。
#号开头的是注释,空白行会自动跳过。

facility

facility定义日志消息的范围,其可使用的key有:auth -由 pam_pwdb 报告的认证活动。
authpriv -包括特权信息如用户名在内的认证活动
cron -与 cron 和 at 有关的计划任务信息。
daemon -与 inetd 守护进程有关的后台进程信息。
kern -内核信息,首先通过 klogd 传递。
lpr -与打印服务有关的信息
mail -与电子邮件有关的信息
mark - syslog内部功能用于生成时间戳
news -来自新闻服务器的信息
syslog -由 syslog 生成的信息
user -由用户程序生成的信息
uucp -由 uucp 生成的信息
local0-local7 -与自定义程序使用
* 通配符代表除了 mark 以外的所有功能除mark为内部使用外,还有security为一个旧的key定义,等同于auth,已经不再建议使用。

level级别

level  定义消息的紧急程度。按严重程度由高到低顺序排列为:emerg -该系统不可用,等同panic
alert   -需要立即被修改的条件
crit    -阻止某些工具或子系统功能实现的错误条件
err     -阻止工具或某些子系统部分功能实现的错误条件,等同error
warning -预警信息,等同warn
notice  -具有重要性的普通条件
info    -提供信息的消息
debug   -不包含函数条件或问题的其他信息
none -没有重要级,通常用于排错
* 所有级别,除了none其中,panic、error、warn均为旧的标识符,不再建议使用。

在定义level级别的时候,需要注意两点:
1)优先级是由应用程序在编程的时候已经决定的,除非修改源码再编译,否则不能改变消息的优先级;
2)低的优先级包含高优先级,
例如,为某个应用程序定义info的日志导向,则涵盖notice、warning、err、crit、alert、emerg等消息。(除非使用=号定义)

例如:
logger [-isd] [-f file] [-p pri] [-t tag] [-u socket] [message ...]
例如,要模拟daemon emerg的消息,可以使用如下命令:
logger -p daemon.emerg “test info”

困不行了,先发这么多,明天有 《nginx使用syslog日志服

- THE END -
版权声明:
转载原创文章请注明,文章出处:http://kinggoo.com
原文地址:http://kinggoo.com/syslog.htm
发表评论?

1 条评论。

  1. syslog实现远程nginx日志服务 | KingGoo技术博客 - pingback on 2013 年 03 月 08 日 在 00:26

发表评论


Trackbacks and Pingbacks: