一、rsyslogd日志统一格式
基本日志格式包含以下四列:
1、事件产生的时间
2、发生事件的服务器的主机名
3、产生事件的服务名或程序名
4、事件的具体信息
二、/etc/rsyslog.conf配置说明
1、authpriv.* /var/log/secure
表示认证相关的服务(authpriv).所有级别的日志(*)都记录在/var/log/secure
2、*.info;mail.none;authpriv.none;cron.none /var/log/messages
表示所有info级别日志都记录到 /var/log/messages文件夹,mail、authpriv、cron日志都不记录到 /var/log/messages
三、连接符号说明
连接符号可以识别为:
1、*”代表所有日志等级,比如:“ authpriv.*”代表authpriv认证信息服务产生的日志,所有的日志等级都记录
2、“.”代表只要比后面的等级高的(包含该等级)日志都记录
下来。比如:“ cron.info”代表cron服务产生的日志,只要日志等级大于等于info级别,就记录
3、“.=”代表只记录所需等级的日志,其他等级的都不记录。比如:“*.=emerg”代表人和日志服务产生的日志,只要等级是emerg等级就记录。这种用法及少见,了解就好
4、“.!”代表不等于,也就是除了该等级的日志外,其他等级的日志都记录。
四、/etc/rsyslog.conf中的默认日志说明
五、日志等级
六、日志记录位置
1、日志文件的绝对路径, 如“ /var/log/secure”
2、系统设备文件, 如“ /dev/lp0”
3、转发给远程主机,如“ @192.168.0.210:514”
4、发给指定的用户, 如“ root”
5、忽略或丢弃日志,如“ ~”