1: syslog.conf的介绍
对于不同类型的Unix,标准UnixLog系统的设置,实际上除了一些关键词的不同,系统的syslog.conf格式是相同的。syslog采用可配置的、统一的系统登记程序,随时从系统各处接受log请求,然后根据/etc/syslog.conf中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是,为了防止入侵者修改、删除messages里的记录信息,可以采用用打印机记录或采用方式来挫败入侵者的企图。
syslogd与klogd(监控linux内核提交的消息)守护进程负责记录,发送系统或工具产生的信息,二者的配置文件都是/etc/syslog.conf.当系统内核或工具产生信息时,通过调用相关函数将信息发送到syslogd或klogd守护进程.syslogd与klogd守护进程会根据/etc/syslog.conf中的配置信息,对消息的去向作出处理
2: syslog.conf的格式
可以参考man [5] syslog.conf。这里是对syslog.conf的简单介绍。
/etc/syslog.conf文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成,两者间用tab制表符进行分隔(使用空格间隔是无效的)。而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成,各保留字段间用分号分隔。如下行所示:
类型.级别 [;类型.级别] `TAB` 动作
2.1 类型
保留字段中的“类型”代表信息产生的源头,可以是:
auth 认证系统,即询问用户名和口令
cron 系统定时系统执行定时任务时发出的信息
daemon 某些系统的守护程序的syslog,如由in.ftpd产生的log
kern 内核的syslog信息
lpr 打印机的syslog信息
mail 邮件系统的syslog信息
mark 定时发送消息的时标程序
news 新闻系统的syslog信息
user 本地用户应用程序的syslog信息
uucp uucp子系统的syslog信息
local0..7 种本地类型的syslog信息,这些信息可以又用户来定义
* 代表以上各种设备
2.2 级别
保留字段中的“级别”代表信息的重要性,可以是:
emerg 紧急,处于Panic状态。通常应广播到所有用户;
alert 告警,当前状态必须立即进行纠正。例如,系统数据库崩溃;
crit 关键状态的警告。例如,硬件故障;
err 其它错误;
warning 警告;
notice 注意;非错误状态的报告,但应特别处理;
info 通报信息;
debug 调试程序时的信息;
none 通常调试程序时用,指示带有none级别的类型产生的信息无需送出。如*.debug;mail.none表示调试时除邮件信息外其它信息都送出。
2.3 动作
动作(action)
动作确定了syslogd与klogd守护进程将日志消息发送到什么地方去.有以下几种选择:
普通文件 使用文件的绝对路径来指明日志文件所在的位置,例如:/var/log/cron.
终端设备 终端可以是/dev/tty0~/dev/tty6,也可以为/dev/console.
用户列表 例如动作为“root hackbutter”,将消息写入到用户root与hackbutter的计算机屏幕上.
远程主机 将信息发往网络中的其他主机的syslogd守护进程,格式为“@hostname”. @符号后面可以是ip,也可以是域名,默认在/etc/hosts文件下loghost这个别名已经指定给了本机。
user1,user2 指定用户。如果指定用户已登录,那么他们将收到信息;
* 所有用户。所有已登录的用户都将收到信息。
3: 具体实例
我们来看看/etc/syslog.conf文件中的实例:
NTP-SERVER:/#vi /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up 使杂乱the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication证明 messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
将info或更高级别的消息送到/var/log/messages,除了mail,authpriv,cron以外.
//其中*是通配符,代表任何设备;none表示不对任何级别的信息进行记录.
# The authpriv file has restricted access.
authpriv.* /var/log/secure
#这主要是一些和权限使用相关的信息
# Log all the mail messages in one place.
mail.* /var/log/maillog
# Log cron stuff
cron.* /var/log/cron
这主要是和系统中定期执行的任务相关的信息.
# Everybody gets emergency紧急 messages
*.emerg *
//将任何设备的emerg(系统不可用)级别的信息发送给所有正在系统上的用户.
# Save news errors of level crit and higher in a special file.
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* /var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
//将和系统启动相关的信息记录到/var/log/boot.log文件中.
配置文件的语法说明
(1) *用作设备或优先级时,可以匹配所有的设备或优先级.
(2) *用作动作时,将消息发送给所有的登录用户.
(3) 多个选择器可在同一行中,并使用分号分隔开,且后面的会覆盖前面的.如,uucp,news.crit.
(4) 关键字none用作优先级时,会屏蔽所有来自指定设备的消息.
(5) 通过使用相同的选择器和不同的动作,同一消息可以记录到多个位置.
(6) syslog.conf文件中后面的配置行不会覆盖前面的配置行,每一行指定的动作都独立的运作.