Linux syslog服务-白红宇

Linux syslog服务

阅读量：6801 次

发布时间：2019-06-26

本文共 4348 字，大约阅读时间需要 14 分钟。

一、syslog日志服务：

1、守护进程：syslog

2、端口：514

3、配置文件:/etc/syslog.conf

4、常见日志文件:

/var/log/dmesg 内核引导信息日志

/var/log/message 标准系统错误信息日志

/var/log/maillog 邮件系统信息日志

/var/log/cron 计划任务日志

/var/log/secure 安全信息日志

二、配置文件：

syslog配置文件如下

-----------------------------------------------------------------

[root@server ~]# vim /etc/syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

#kern.* /dev/console

# Log anything (except mail) of level info or higher.

# Don't log private authentication messages!

*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.

authpriv.* /var/log/secure

# Log all the mail messages in one place.

mail.* -/var/log/maillog

# Log cron stuff

cron.* /var/log/cron

# Everybody gets emergency messages

*.emerg *

# Save news errors of level crit and higher in a special file.

uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log

local7.*

-----------------------------------------------------------------

配置文件中每行表示一个项目，格式为：facility.level action

由两个部分组成:

第一部分：选择条件（可以有一个或者多个条件），分为两个字段。

第二部分：操作动作；

1、选择条件

选择条件本身分为两个字段，之间用一个小数点（.）分隔。前一字段是一项服务，后一字段是一个优先级。选择条件是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）隔开。

常见facility:

kern

内核信息；

user

用户进程信息；

mail

电子邮件相关信息；

daemon

后台进程相关信息；

authpriv

包括特权信息如用户名在内的认证活动；

cron

计划任务信息；

syslog

系统日志信息

lpr

打印服务相关信息。

news

新闻组服务器信息

uucp uucp 生成的信息

local0----local7

本地用户信息

2、重要级：

重要级是选择条件的第二个字段，它代表消息的紧急程度。

按严重程度由低到高排序：

debug

不包含函数条件或问题的其他信息

info

提供信息的消息

none

没有重要级，通常用于排错

notice

具有重要性的普通条件

warning

预警信息

err

阻止工具或某些子系统部分功能实现的错误条件

crit

阻止某些工具或子系统功能实现的错误条件

alert

需要立即被修改的条件

emerg

该系统不可用

不同的服务类型有不同的优先级，数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符，对应于这个优先级的消息以及所有更紧急的消息类型都将包括在内。比如说，如果某个选择条件里的优先级是“warning”，它实际上将把“warning”、 “err”、“crit”、“alert”和“emerg”都包括在内。

3、操作动作

日志信息可以分别记录到多个文件里，还可以发送到命名管道、其他程序甚至另一台机器。

syslog 主要支持以下活动：

file

指定文件的绝对路径

terminal 或 prin

完全的串行或并行设备标志符

@host（@IP地址）

远程的日志服务器

三、搭建Linux日志服务器:

1、编辑

/etc/sysconfig/syslog文件,让服务器能够接受客户端传来的数据：

在“SYSLOGD_OPTIONS”行上加“-r”选项以允许接受外来日志消息。

-----------------------------------------------------------------

[root@client ~]# vim /etc/sysconfig/syslog

# Options to syslogd

# -m 0 disables 'MARK' messages.

# -r enables logging from remote machines

# -x disables DNS lookups on messages recieved with -r

# See syslogd(8) for more details

SYSLOGD_OPTIONS="-r -m 0"

# Options to klogd

# -2 prints all kernel oops messages twice; once for klogd to decode, and

# once for processing with 'ksymoops'

# -x disables all klogd processing of oops messages entirely

# See klogd(8) for more details

KLOGD_OPTIONS="-x"

SYSLOG_UMASK=077

# set this to a umask value to use for all log files as in umask(1).

# By default, all permissions are removed for "group" and "other".

-----------------------------------------------------------------

2、重新启动syslog守护进程。

-----------------------------------------------------------------

[root@client ~]# service syslog restart

关闭内核日志记录器： [确定]

关闭系统日志记录器： [确定]

启动系统日志记录器： [确定]

启动内核日志记录器： [确定]

[root@client ~]#

-----------------------------------------------------------------

3、关闭iptables，也可以开启514端口。本例中我们关闭iptables。

四、配置各客户端：

1、配置

/etc/syslog.conf

修改客户机/etc/syslog.conf文件，在有关配置行的操作动作部分用一个“@”字符指向日志服务器

-----------------------------------------------------------------

[root@client ~]# vim /etc/syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

#kern.* /dev/console

*.* @10.64.165.210

# The authpriv file has restricted access.

authpriv.* /var/log/secure

……下面省略

-----------------------------------------------------------------

另外如果配置了DNS域名的话可以使用域名。

2、重启客户端syslog使设置生效。

检测成果：

下图是我们在客户端重启iptables服务后在服务端看到的日志情况：

-----------------------------------------------------------------

[root@client ~]# cat /var/log/messages |tail

Nov 30 16:44:29 10.64.165.200 kernel: klogd 1.4.1, log source = /proc/kmsg started.

Nov 30 16:44:33 10.64.165.200 kernel: Removing netfilter NETLINK layer.

Nov 30 16:44:33 10.64.165.200 kernel: Netfilter messages via NETLINK v0.30.

Nov 30 16:44:33 10.64.165.200 kernel: ip_conntrack version 2.4 (4096 buckets, 32768 max) - 228 bytes per conntrack

-----------------------------------------------------------------

文章转载出处：

转载于:https://blog.51cto.com/blove/1072940

你可能感兴趣的文章

编程的那些事儿

查看>>

应用于ASP文件上传漏洞的0×00截断***

查看>>

Rubygems的国内镜像站点

查看>>

TypeScript基础入门之模块解析(三)

查看>>

Maven学习八之pom.xml简介以及客户端下载包的流程

和Linux大魔王愉快的玩耍（一）环境变量和文件类型

为什么Runtime.exec("ls")没有任何输出_JAVA基础教程

oracle 中的INTERVAL 函数详解

查看>>

SAP中成本分配的相关操作KSV1/KSV2/KSV3/KSV5

linux学习-centos7上部署DNS服务

查看>>

在Silverlight中动态绑定页面报表（PageReport）的数据源

查看>>

决心书

查看>>