目前，linux依舊使用syslogd作為日志監(jiān)控進程，而在主流的linux發(fā)行版中依舊使用sysklog這個比較老的日志服務器套件。從前一篇日志可以看到，對其進行必要的配置能減少很多麻煩，并且可更有效的從系統(tǒng)日志監(jiān)控到系統(tǒng)的狀態(tài)。理解并完善一個syslog的配置，對于系統(tǒng)管理員來說顯得尤為重要。
一、配置文件
     以紅旗DC Server 5.0為例，默認的日志服務器就是sysklog套件：
引用# rpm -qa|grep sysklogd
sysklogd-1.4.1-26_EL
其主要的配置文件有兩個：
引用/etc/sysconfig/syslog
這里定義syslog服務啟動時可加入的參數(shù)。
引用/etc/syslog.conf
這個是syslog服務的主要配置文件，根據(jù)定義的規(guī)則導向日志信息。


二、設置主配置文件
/etc/syslog.conf根據(jù)如下的格式定義規(guī)則：
引用facility.level action
設備.優(yōu)先級 動作
facility.level 字段也被稱為seletor（選擇條件），選擇條件和動作之間用空格或tab分割開。
#號開頭的是注釋，空白行會自動跳過。


1、facility
facility定義日志消息的范圍，其可使用的key有：
引用auth －由 pam_pwdb 報告的認證活動。
authpriv －包括特權信息如用戶名在內(nèi)的認證活動 
cron －與 cron 和 at 有關的計劃任務信息。 
daemon －與 inetd 守護進程有關的后臺進程信息。 
kern －內(nèi)核信息，首先通過 klogd 傳遞。 
lpr －與打印服務有關的信息。 
mail －與電子郵件有關的信息 
mark － syslog內(nèi)部功能用于生成時間戳 
news －來自新聞服務器的信息 
syslog －由 syslog 生成的信息 
user －由用戶程序生成的信息 
uucp －由 uucp 生成的信息 
local0-local7 －與自定義程序使用
* 通配符代表除了 mark 以外的所有功能
除mark為內(nèi)部使用外，還有security為一個舊的key定義，等同于auth，已經(jīng)不再建議使用。


2、level級別
level定義消息的緊急程度。按嚴重程度由高到低順序排列為：
引用emerg －該系統(tǒng)不可用，等同panic
alert －需要立即被修改的條件 
crit －阻止某些工具或子系統(tǒng)功能實現(xiàn)的錯誤條件 
err －阻止工具或某些子系統(tǒng)部分功能實現(xiàn)的錯誤條件，等同error
warning －預警信息，等同warn 
notice －具有重要性的普通條件 
info －提供信息的消息 
debug －不包含函數(shù)條件或問題的其他信息 
none －沒有重要級，通常用于排錯 
* 所有級別，除了none
其中，panic、error、warn均為舊的標識符，不再建議使用。


在定義level級別的時候，需要注意兩點：
引用1）優(yōu)先級是由應用程序在編程的時候已經(jīng)決定的，除非修改源碼再編譯，否則不能改變消息的優(yōu)先級；
2）低的優(yōu)先級包含高優(yōu)先級，例如，為某個應用程序定義info的日志導向，則涵蓋notice、warning、err、crit、alert、emerg等消息。（除非使用=號定義）


3、selector選擇條件
通過小數(shù)點符號“.”把facility和level連接在一起則成為selector（選擇條件）。
可以使用分號“;”同時定義多個選擇條件。也支持三個修飾符：
引用* － 所有日志信息
= － 等于，即僅包含本優(yōu)先級的日志信息
! － 不等于，本優(yōu)先級日志信息除外


4、action動作
由前面選擇條件定義的日志信息，可執(zhí)行下面的動作：
引用file－指定日志文件的絕對路徑，默認為直接寫入磁盤文件；但可以在路徑前加上“減號” ，表示先放到緩存中，達到一定數(shù)量后再寫入磁盤，這樣能提高性能；但若期間機器出現(xiàn)問題，這些日志數(shù)據(jù)可能會丟失；因此，只建議用于日志數(shù)量大，但非必要的日志文件中，例如mail 等。
terminal 或 print －發(fā)送到串行或并行設備標志符，例如/dev/ttyS2
@host －遠程的日志服務器
username －發(fā)送信息本機的指定用戶信息窗口中，但該用戶必須已經(jīng)登陸到系統(tǒng)中 
named pipe －發(fā)送到預先使用 mkfifo 命令來創(chuàng)建的 FIFO 文件的絕對路徑
※注意，不能通過“|/var/xxx.sh”方式導向日志到其他腳本中處理。


5、舉例
例如：
引用*.info;mail.none;news.none;authpriv.none;cron.none               /var/log/messages
#把除郵件、新聞組、授權信息、計劃任務等外的所有通知性消息都寫入messages文件中。
mail,news.=info               -/var/adm/info
#把郵件、新聞組中僅通知性消息寫入info文件，其他信息不寫入；并且先放到緩存中，累積到一定程度后再寫入文件。
mail.*;mail.!=info           /var/adm/mail
#把郵件的除通知性消息外都寫入mail文件中，。
mail.=info                   /dev/tty12
#僅把郵件的通知性消息發(fā)送到tty12終端設備
*.alert                       root,joey
#如果root和joey用戶已經(jīng)登陸到系統(tǒng)，則把所有緊急信息通知他們
*.*                           @finlandia
#把所有信息都導向到finlandia主機（通過/etc/hosts或DNS解析其IP地址）
※注意：每條消息均會經(jīng)過所有規(guī)則的，并不是唯一匹配的。
也就是說，假設mail.=info信息通過上面范例中定義的規(guī)則時，/var/adm/info、/var/adm/mail、/dev/tty12，甚至finalandia主機都會收到相同的信息。這樣看上去比較煩瑣，但可以帶來的好處就是保證了信息的完整性，可供不同地方進行分析。


6、測試
部分情況下，上述規(guī)的實際執(zhí)行結(jié)果和定義的預想結(jié)果可能會有出入。這時，可使用logger程序輔助測試：
# logger -p user.notice 'Hello World!'
日志顯示：
引用Nov 12 13:40:04 dc5test root: Hello World!
其表示意思如下：
引用第一列：日志產(chǎn)生時間
第二列：產(chǎn)生此日志的主機名稱
第三列：產(chǎn)生此日志的應用程序或用戶名稱
第四列：日志信息


7、自定義日志級別
正如前面所說的，應用程序的日志級別是由應用程序所決定的。部分應用程序可通過配置，定義其日志級別。
例如，/etc/ssh/sshd_config文件中就有：
引用#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
把sshd的日志定義在authpriv.info級別。配合syslog.conf中的：
引用authpriv.*     /var/log/secure
則日志文件被寫入/var/log/secure文件中。


◎我們修改為：
引用SyslogFacility local0
配合在syslog.conf中增加：
引用local0.*     /var/log/sshd.log
保存后，重新啟動sshd或syslog服務，則以后sshd服務的所有日志都會單獨的放到sshd.log文件中了。


三、設置服務參數(shù)
默認情況下，syslog進程是不能接受其他日志服務器發(fā)過來的消息的。而通過修改其啟動參數(shù)，可實現(xiàn)日志的大集中功能。
修改/etc/sysconfig/syslog文件：
引用-r ： 打開接受外來日志消息的功能，其監(jiān)控514 UDP端口；
-x ： 關閉自動解析對方日志服務器的FQDN信息，這能避免DNS不完整所帶來的麻煩；
-m ： 修改syslog的內(nèi)部mark消息寫入間隔時間（0為關閉），例如240為每隔240分鐘寫入一次“--MARK--”信息；
-h ： 默認情況下，syslog不會發(fā)送從遠端接受過來的消息到其他主機，而使用該選項，則把該開關打開，所有接受到的信息都可根據(jù)syslog.conf中定義的@主機轉(zhuǎn)發(fā)過去。
通過man syslogd可獲得更詳細的幫助，而具體到實際配置文件為：
引用SYSLOGD_OPTIONS="-r-x-m 0"
保存后，重啟服務即可：
# service syslog restart
此時，客戶機只要通過修改syslog.conf，定義動作為@主機或IP，即可發(fā)送日志信息到本服務器中。
（在構建集中的日志服務器時，請務必配合ntp時間服務，以保證信息的有效性，避免不必要的麻煩）
另外，/etc/sysconfig/syslog配置文件中，還定義有klogd服務的啟動參數(shù)：
引用KLOGD_OPTIONS="-x"
詳細幫助，請參考man 8 klogd或man klogd。


四、參考
http://www.rhce.com.tw/rhel/syslog/
http://blog.chinaunix.net/u1/33592/showart_351061.html
http://server.it168.com/server/2007-10-28/200710281631265_1.shtml
http://linux.tcpip.com.cn/article/index.php?func=detail&par=3&parentid=2438&start=96&s=0



新聞名稱：配置linuxsyslog日志服務器
URL網(wǎng)址：http://weahome.cn/article/gppisd.html