如何進(jìn)行Linux系統(tǒng)syslog分析

如何進(jìn)行Linux系統(tǒng)syslog分析，針對這個(gè)問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

一、日志系統(tǒng)之syslog

syslog是Linux系統(tǒng)中默認(rèn)的日志守護(hù)進(jìn)程，RHEL5上默認(rèn)是syslog，而RHEL6上則是syslog-ng(next generation)，而syslog-ng不僅在配置上有了重大的改變，而且所支持的功能更強(qiáng)大。但是此處我們還是以RHEL5為例，先介紹syslog，以后再介紹syslog-ng。

[root@liangxu ~]# chkconfig --list syslogsyslog         	0:off	1:off	2:on	3:on	4:on	5:on	6:off[root@soysauce ~]# service syslog statussyslogd (pid  2887) is running...
klogd (pid  2890) is running...

syslogd: 系統(tǒng)，非內(nèi)核產(chǎn)生的信息
klogd：內(nèi)核，專門負(fù)責(zé)記錄內(nèi)核產(chǎn)生的日志信息

二、Syslog服務(wù)的配置詳解

1、配置文件定義格式：facility.priority        action 

[root@liangxu ~]# cat /etc/syslog.conf # Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.*							/dev/console# Log anything (except mail) of level info or higher.# Don't log private authentication messages!*.info;mail.none;news.none;authpriv.none;cron.none		/var/log/messages# The authpriv file has restricted access.authpriv.*						/var/log/secure# Log all the mail messages in one place.mail.*							-/var/log/maillog            # "-"表示異步寫入# Log cron stuffcron.*							/var/log/cron# Everybody gets emergency messages*.emerg							*# Save news errors of level crit and higher in a special file.uucp,news.crit						/var/log/spooler# Save boot messages also to boot.loglocal7.*						/var/log/boot.log## INN#news.=crit                                        /var/log/news/news.crit
news.=err                                         /var/log/news/news.err
news.notice                                       /var/log/news/news.notice

2、配置文件之facility：日志的來源

auth      			                # 認(rèn)證相關(guān)的 
    authpriv  			                    # 權(quán)限,授權(quán)相關(guān)的 
    cron      			                # 任務(wù)計(jì)劃相關(guān)的 
    daemon    			                    # 守護(hù)進(jìn)程相關(guān)的 
    kern      			                # 內(nèi)核相關(guān)的 
    lpr      			                    # 打印相關(guān)的 
    mail     			                    # 郵件相關(guān)的 
    mark     			                    # 標(biāo)記相關(guān)的 
    news     			                    # 新聞相關(guān)的 
        security 			                    # 安全相關(guān)的,與auth 類似  
    syslog  			                    # syslog自己的 
        user    			                    # 用戶相關(guān)的 
    uucp    			                    # unix to unix cp 相關(guān)的 
    local0 到 local7 	                         # 用戶自定義使用 
    *        			                   # *表示所有的facility

3、配置文件之priority：日志的級別

debug                                   # 程序或系統(tǒng)的調(diào)試信息 info                                    # 一般信息notice                                 # 不影響正常功能,需要注意的消息 warning/warn                            # 可能影響系統(tǒng)功能,需要提醒用戶的重要事件 err/error                               # 錯(cuò)誤信息 crit                                    # 比較嚴(yán)重的 alert                                   # 必須馬上處理的 emerg/panic                             # 會導(dǎo)致系統(tǒng)不可用的 *                                       # 表示所有的日志級別 none                                    # 跟* 相反,表示啥也沒有

4、配置文件之a(chǎn)ction：日志記錄的位置

系統(tǒng)上的絕對路徑                        # 普通文件 如： /var/log/xxx |                                       # 管道  通過管道送給其他的命令處理 終端                                  # 終端 如：/dev/console @HOST                               # 遠(yuǎn)程主機(jī) 如： @10.0.0.1      用戶                                  # 系統(tǒng)用戶 如： root     *                                   # 登錄到系統(tǒng)上的所有用戶，一般emerg級別的日志是這樣定義的

5、syslog服務(wù)腳本配置文件

[root@liangxu ~]# cat /etc/sysconfig/syslog# Options to syslogd# -m 0 disables 'MARK' messages.# -r enables logging from remote machines# -x disables DNS lookups on messages recieved with -r# See syslogd(8) for more detailsSYSLOGD_OPTIONS="-m 0"                                # 此處添加"-r"即可接受其他主機(jī)發(fā)來的日志信息并記錄# Options to klogd# -2 prints all kernel oops messages twice; once for klogd to decode, and#    once for processing with 'ksymoops'# -x disables all klogd processing of oops messages entirely# See klogd(8) for more detailsKLOGD_OPTIONS="-x"#SYSLOG_UMASK=077# set this to a umask value to use for all log files as in umask(1).# By default, all permissions are removed for "group" and "other".

三、定義格式實(shí)例

mail.info   /var/log/mail.log      # 表示將mail相關(guān)的,級別為info及以上級別的信息記錄到mail.log文件中 auth.=info  @10.0.0.1               # 表示將auth相關(guān)的,基本為info的信息記錄到10.0.0.1主機(jī)上去 user.!=error                     # 表示記錄user相關(guān)的,不包括error級別的信息 user.!error                      # 與user.error相反 *.info                         # 表示記錄所有的日志信息的info級別 mail.*                         # 表示記錄mail相關(guān)的所有級別的信息 *.*                          # 所有子系統(tǒng)所有級別的信息 cron.info;mail.info                  # 多個(gè)日志來源可以用";" 隔開 cron,mail.info                     # 與cron.info;mail.info 是一個(gè)意思 mail.*;mail.!=info                   # 表示記錄mail相關(guān)的所有級別的信息,但是不包括info級別的

關(guān)于如何進(jìn)行Linux系統(tǒng)syslog分析問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。