如何进行Linux系统syslog分析

如何进行linux系统syslog分析，针对这个问题，这篇文章详细介绍了相对应的分析和解答，希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

一、日志系统之syslog

syslog是Linux系统中默认的日志守护进程，RHEL5上默认是syslog，而RHEL6上则是syslog-ng(next generation)，而syslog-ng不仅在配置上有了重大的改变，而且所支持的功能更强大。但是此处我们还是以RHEL5为例，先介绍syslog，以后再介绍syslog-ng。

[root@liangxu ~]# chkconfig --list syslogsyslog         0:off1:off2:on3:on4:on5:on6:off[root@soysauce ~]# service syslog statussyslogd (pid  2887) is running...klogd (pid  2890) is running...syslogd: 系统，非内核产生的信息klogd：内核，专门负责记录内核产生的日志信息

二、Syslog服务的配置详解

配置文件定义格式：facility.priority        action 

[root@liangxu ~]# cat /etc/syslog.conf # Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.*/dev/console# Log anything (except mail) of level info or higher.# Don't log private authentication messages!*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages# The authpriv file has restricted access.authpriv.*/var/log/secure# Log all the mail messages in one place.mail.*-/var/log/maillog            # "-"表示异步写入# Log cron stuffcron.*/var/log/cron# Everybody gets emergency messages*.emerg*# Save news errors of level crit and higher in a special file.uucp,news.crit/var/log/spooler# Save boot messages also to boot.loglocal7.*/var/log/boot.log## INN#news.=crit                                        /var/log/news/news.critnews.=err                                         /var/log/news/news.errnews.notice                                       /var/log/news/news.notice

配置文件之facility：日志的来源

auth                      # 认证相关的     authpriv                      # 权限,授权相关的     cron                      # 任务计划相关的     daemon                        # 守护进程相关的     kern                      # 内核相关的     lpr                          # 打印相关的     mail                         # 邮件相关的     mark                         # 标记相关的     news                         # 新闻相关的         security                     # 安全相关的,与auth 类似      syslog                      # syslog自己的         user                        # 用户相关的     uucp                        # unix to unix cp 相关的     local0 到 local7                          # 用户自定义使用     *                           # *表示所有的facility

配置文件之priority：日志的级别

debug                                   # 程序或系统的调试信息 info                                    # 一般信息notice                                 # 不影响正常功能,需要注意的消息 warning/warn                            # 可能影响系统功能,需要提醒用户的重要事件 err/error                               # 错误信息 crit                                    # 比较严重的 alert                                   # 必须马上处理的 emerg/panic                             # 会导致系统不可用的 *                                       # 表示所有的日志级别 none                                    # 跟* 相反,表示啥也没有

配置文件之action：日志记录的位置

系统上的绝对路径                        # 普通文件 如： /var/log/xxx |                                       # 管道  通过管道送给其他的命令处理 终端                                  # 终端 如：/dev/console @HOST                               # 远程主机 如： @10.0.0.1      用户                                  # 系统用户 如： root     *                                   # 登录到系统上的所有用户，一般emerg级别的日志是这样定义的

syslog服务脚本配置文件

[root@liangxu ~]# cat /etc/sysconfig/syslog# Options to syslogd# -m 0 disables 'MARK' messages.# -r enables logging from remote Machines# -x disables DNS lookups on messages recieved with -r# See syslogd(8) for more detailsSYSLOGD_OPTIONS="-m 0"                                # 此处添加"-r"即可接受其他主机发来的日志信息并记录# Options to klogd# -2 prints all kernel oops messages twice; once for klogd to decode, and#    once for processing with 'ksymoops'# -x disables all klogd processing of oops messages entirely# See klogd(8) for more detailsKLOGD_OPTIONS="-x"#SYSLOG_UMASK=077# set this to a umask value to use for all log files as in umask(1).# By default, all permissions are removed for "group" and "other".

三、定义格式实例

mail.info   /var/log/mail.log      # 表示将mail相关的,级别为info及以上级别的信息记录到mail.log文件中 auth.=info  @10.0.0.1               # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去 user.!=error                     # 表示记录user相关的,不包括error级别的信息 user.!error                      # 与user.error相反 *.info                         # 表示记录所有的日志信息的info级别 mail.*                         # 表示记录mail相关的所有级别的信息 *.*                          # 所有子系统所有级别的信息 cron.info;mail.info                  # 多个日志来源可以用";" 隔开 cron,mail.info                     # 与cron.info;mail.info 是一个意思 mail.*;mail.!=info                   # 表示记录mail相关的所有级别的信息,但是不包括info级别的

关于如何进行Linux系统syslog分析问题的解答就分享到这里了，希望以上内容可以对大家有一定的帮助，如果你还有很多疑惑没有解开，可以关注编程网操作系统频道了解更多相关知识。