1、日志的文件格式
基本日志格式包含以下四列:
- 事件产生的时间
- 发生事件的服务器的主机名
- 产生事件的服务名或程序名
事件的具体信息
2、/etc/rsyslog.conf配置文件
以下面这条配置信息为例:
authpriv.* /var/log/secure
#服务名称[连接符号]日志等级 日志记录位置
#记录authpriv认证相关服务及所有日志等级
#记录在/var/log/secure日志中
配置信息包含四个部分:服务名称、连接符号、日志等级、日志的保存位置。
服务名称 | 说明 |
---|
auth | 安全和认证相关信息(不推荐使用authpriv替代)。 |
authpriv | 安全和认证相关信息(私有的)。 |
cron | 系统定时任务cront和at产生的日志。 |
daemon | 各个守护进程相关的日志。 |
ftp | ftp守护进程产生的日志。 |
kern | 内核产生的日志(不是用户进程产生的)。 |
local0-local7 | 为本地使用预留的服务。 |
lpr | 打印产生的日志。 |
mail | 邮件收发信息。 |
news | 与新闻服务器相关的日志。 |
syslog | 由syslogd服务产生的日志(虽然服务名称已经改为rsyslogd,但是很多配置还是沿用了sysylogd)。 |
user | 用户等级类别的日志信息。 |
uucp | uucp子系统的日志信息,uucp是早期Linux系统进行数据传递的协议,后来也常用在新闻组服务中。 |
连接符号 | 说明 |
---|
. | 代表只要比后面的等级高的(包含该等级)日志都记录下来。 |
.= | 代表只记录所需等级的日志,其他等级的都不记录。 |
.! | 代表不等于,也就是除了该等级的日志之外,其他等级的日志都记录。 |
日志等级 | 说明 |
---|
debug | 一般的调试信息。 |
info | 基本的通知信息。 |
notice | 普通信息,但是有一定的重要性。 |
warning | 警告信息,但是还不会影响到服务或系统的运行。 |
err | 错误信息,一般达到err等级的信息已经可以影响到服务或系统的运行。 |
crit | 临界状况信息,比err等级还要严重。 |
alert | 警告状态信息,比crit还要严重。必须立即采取行动。 |
emerg | 疼痛等级信息,系统已经无法使用了。 |
日志的保存位置:
- 日志文件的绝对路径,如 “/var/log/secure”。
- 系统设备文件,如 “/dev/lp0”。
- 转发给远程主机,如 “@192.168.0.210:514”。
- 发给在线的用户,如 “root”,”*”。
- 忽略或丢弃日志,如 “~”。
说明:
- * 星号代表任何内容。如果是在服务名称处,代表任何服务;
- 如果是在日志等级处,代表任何日志等级;
- 如果是在保存位置处,代表发给所有的在线用户。