一、日志概述

1、rsyslog簡介

  syslog是日志收集存儲系統(tǒng)，負責記錄遵守此服務的內核、程序的日志信息。一般記錄為：“日期時間，主機，進程：事件”。syslog不僅可以記錄本地的系統(tǒng)日志，也可以通過tcp, udp協議記錄遠程主機的程序日志信息。

syslog：系統(tǒng)日志，是一種服務，有兩個進程

  syslogd：記錄應用程序相關的日志

  klogd：記錄內核相關的日志

rsyslog：是syslog的升級版，使用多線程并發(fā)記錄本地或遠程日志，支持存儲日志信息在MySQL,PGSQL, Oracle等RDBMS中。同時擁有強大的過濾器功能，可以對日志中任意內容進行過濾。

  rsyslog是CentOS 6以后的系統(tǒng)使用的日志系統(tǒng)，與之前的syslog日志系統(tǒng)相比，具有以下優(yōu)點：

   支持多線程

   支持TCP、SSL、TLS、RELP等協議

   強大的過濾器，可實現過濾日志信息中的任意部分

   支持自定義輸出格式

   適用于企業(yè)級別日志記錄需求

   模塊化

日志的記錄格式：

  日期時間 主機 進程[pid]：事件內容

2、rsyslog的一些概念

  系統(tǒng)上的應用程序指定某一信道記錄日志，信道默認已經設定了日志的記錄級別，一旦應用程序產生了日志信息，通過該信道就會把日志文件記錄在指定的本地文件、數據庫或遠程rsyslog服務器中。

當然應用程序輸出的日志一般也會按照級別劃分，比如sshd_conf中就定義了信道為authpriv，級別為info的日志輸出：
# Logging — SyslogFacility AUTHPRIV — #LogLevel INFO

3、rsyslog支持的facility與priority

facility：設施、信道

從功能或程序上對日志進行分類，并由專門的工具負責記錄其日志

常用的facility：
    lpr： 打印相關的日志
    auth： 認證相關的日志
    user： 用戶相關的日志
    cron： 計劃任務相關的日志
    kern： 內核相關的日志
    mail： 郵件相關的日志
    mark： 標記相關的日志
    news： 新聞相關的日志
    uucp： 文件copy相關的日志
   daemon： 系統(tǒng)服務相關的日志
  authpri： 授權相關的日志
  security： 安全相關的日志
   syslog： 由syslogd服務產生的日志信息，雖然服務名稱改為rsyslogd，但是很多配置都還是沿用了syslogd的，這里并沒有修改服務名
  local0-local7：自定義相關的日志信息（自定義時可以使用通配符）

priority：級別

debug           #有調式信息的，日志信息最多
info            #一般信息的日志，最常用
notice          #最具有重要性的普通條件的信息
warning, warn   #警告級別
err, error      #錯誤級別，阻止某個功能或者模塊不能正常工作的信息
crit            #嚴重級別，阻止整個系統(tǒng)或者整個軟件不能正常工作的信息
alert           #需要立刻修改的信息
emerg, panic    #內核崩潰等嚴重信息
###從上到下，級別從低到高，記錄的信息越來越少，如果設置的日志內性為err，則日志不會記錄比err級別低的日志

二、rsyslog配置

1、程序環(huán)境

程序包：rsyslog

配置文件：/etc/rsyslog.conf， /etc/rsyslog.d/*.conf

主程序：/usr/sbin/rsyslogd

模塊路徑：/lib64/rsyslog/

Unit File：/usr/lib/systemd/system/rsyslog.service

2、配置文件/etc/rsyslog.conf格式詳解

由三部分組成，必須嚴格按照配置段位置添加配置

<dfn id="rwij5"></dfn>