linux日志服务是哪个,『学了就忘』Linux日志管理 — 2.日志服务rsyslogd
1、日志文件格式
只要是由日志服務(wù)rsyslogd記錄的日志文件,他們的格式是一樣的。
基本日志格式包含以下內(nèi)容:
事件產(chǎn)生的時間。
發(fā)生事件的服務(wù)器的主機名。
產(chǎn)生事件的服務(wù)名或程序名。
事件的具體信息(具體日志信息)。
我們以/var/log/messages為例:
2、rsyslogd服務(wù)的配置文件
rsyslogd服務(wù)是的配置文件是/etc/rsyslog.conf。用來確定哪個服務(wù)的、什么等級的日志信息,會被記錄在哪個位置。也就是說,rsyslogd日志服務(wù)/etc/rsyslog.conf配置文件中主要定義了服務(wù)的名稱、日志等級和日志記錄位置。
(1)rsyslog.conf配置文件內(nèi)容
rsyslog.conf配置文件的位置在/etc/rsyslog.conf配置文件說明。
# 查看/etc/rsyslog.conf配置文件的內(nèi)容。
[root@localhost ~]# vim /etc/rsyslog.conf
# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
# 加載模塊。是`rsyslogd`服務(wù)必備的模塊。
#### MODULES ####
# 加載imuxsock模塊,為本地系統(tǒng)登錄提供支持。
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
# 加載imklog模塊,為內(nèi)核登錄提供支持。
$ModLoad imklog # provides kernel logging support (previously done by rklogd)
# 加載immark模塊,提供標記信息的能力。
#$ModLoad immark # provides --MARK-- message capability
# 如果你需要把日志發(fā)送給其他的服務(wù)器,
# 你就需要開啟下面的UPD或者TCP協(xié)議的網(wǎng)絡(luò)服務(wù)。
# 加載UPD模塊,允許使用UDP的514端口,接收采用UDP協(xié)議轉(zhuǎn)發(fā)的日志。
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# 加載TCP模塊,允許使用TCP的514端口,接收采用TCP協(xié)議轉(zhuǎn)發(fā)的日志。
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
# 定義全局設(shè)置。
#### GLOBAL DIRECTIVES ####
# 定義日志的時間,使用默認的時間戳格式。
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# 文件同步功能。默認沒有開啟,是注釋的。
# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on
# 包含/etc/rsyslog.d/目錄中所有的“.conf"子配置文件。
# 也就是說這個目錄中的所有子配置文件也同時生效。
# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
# 日志文件保存規(guī)則。
#### RULES ####
# kern服務(wù).所有日志級別保存在/dev/console。
# 這個日志默認沒有開啟,如果需要,則取消注釋。
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# *.info;mail.none;authpriv.none;cron.none意思是:
# 所有服務(wù).info以上級別的日志,保存在/var/log/messages日志中。
# 除了mail,authpriv,cron的日志不記錄在/var/log/messages日志文件中,因為它們都有自己的日志文件。
# 所以/var/log/messages日志,是最重要的系統(tǒng)日志文件,需要經(jīng)常查看!
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# 用戶認證服務(wù)所有級別的日志,保存在/var/log/secure日志中。
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# mail服務(wù)的所有級別的日志保存在/var/log/maillog日志中。
# “-”號的含義是日志先在內(nèi)存之中保存,當日志夠多之后,再向文件中保存。
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# 計劃任務(wù)的所有日志保存在/var/log/cron日志中。
# Log cron stuff
cron.* /var/log/cron
# 所有日志服務(wù)的疼痛等級日志對所有在線用戶廣播。
# Everybody gets emergency messages
*.emerg *
# uucp和news日志服務(wù)的crit以上的日志保存在/var/log/sppoler 日志文件中。
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# loac17日志服務(wù)的所有日志寫入/var/log/boot.log日志中。
# 會把開機時的檢測信息在顯示到屏幕的同時,寫入/var/log/boot.log日志中
# Save boot messages also to boot.log
local7.* /var/log/boot.log
# 定義轉(zhuǎn)發(fā)規(guī)則
# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$WorkDirectory /var/lib/rsyslog # where to place spool files
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList # run asynchronously
#$ActionResumeRetryCount -1 # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###
(2)rsyslog.conf配置文件內(nèi)容說明
@1、/etc/rsyslog.conf配置文件格式
格式:
#服務(wù)名稱[連接符號]日志等級 日志記錄位置
authpriv.* /var/log/secure
說明:
認證相關(guān)服務(wù).所有日志等級 記錄在/var/log/secure日志中。
@2、服務(wù)名稱
rsyslogd服務(wù)可以識別以下服務(wù)的日志,也可以理解為,以下這些服務(wù)委托了rsyslogd服務(wù)來代為管理日志。
服務(wù)名稱
說明
auth (LOG_AUTH)
安全和認證相關(guān)消息(不推薦使用authpriv替代)。
authpriv (LOG_AUTHPRIV)
安全和認證相關(guān)消息(私有的)。
cron (LOG_CRON)
系統(tǒng)定時任務(wù)cront和at產(chǎn)生的日志。
daemon (LOG_DAEMON)
和各個守護進程相關(guān)的日志。
ftp (LOG_FTP)
ftp守護進程產(chǎn)生的日志。
kern (LOG_KERN)
內(nèi)核產(chǎn)生的日志(不是用戶進程產(chǎn)生的)。
local0-local7 (LOG_LOCAL0-7)
為本地使用預(yù)留的服務(wù)。
lpr (LOG_LPR)
打印產(chǎn)生的日志。
mail (LOG_MAIL)
郵件收發(fā)信息。
news (LOG_NEWS)
與新聞服務(wù)器相關(guān)的日志。
syslog (LOG_SYSLOG)
有syslogd服務(wù)產(chǎn)生的日志信息
(雖然服務(wù)名稱已經(jīng)改為rsyslogd,但是很多配置都還是沿用了syslogd的,這里并沒有修改服務(wù)名)。
user (LOG_USER)
用戶等級類別的日志信息。
uucp (LOG_UUCP)
uucp子系統(tǒng)的日志信息,uucр是早Linux系統(tǒng)進行數(shù)據(jù)傳遞的協(xié)議,后來也常用在新聞組服務(wù)中。
@3、連接符號
日志服務(wù)連接日志等級的格式是:
日志服務(wù)[連接符號]日志等級 日志記錄位置
在這里連接符號可以識別為:
.代表只要比后面的等級高的(包含該等級)日志都記錄下來。
比如:cron.info代表cron服務(wù)產(chǎn)生的日志,只要日志等級大于等于info級別,就記錄。
.=代表只記錄所需等級的日志,其他等級的都不記錄。
比如:*.=emerg代表任何日志服務(wù)產(chǎn)生的日志信息,只要等級是emerg等級就記錄。(這種方式用的很少)
.!代表不等于,也就是除了該等級的日志外,其他等級的日志都記錄。
@4、日志等級
等級名稱
說明
debug (LOG_DEBUG)
一般的調(diào)試信息說明。
info (LOG_INFO)
基本的通知信息。
notice (LOG_NOTICE)
普通信息,但是有一定的重要性。
warning (LOG_WARNING)
警告信息,但是還不會影響到服務(wù)或系統(tǒng)的運行。
err (LOG_ERR)
錯誤信息,一般達到err等級的信息,已經(jīng)可以影響到服務(wù)或系統(tǒng)的運行了。
crit (LOG_CRIT)
臨界狀況信息,比err等級還要嚴重。
alert (LOG_ALERT)
警告狀態(tài)信息,比crit還要嚴重。必須立即采取行動。
emerg (LOG_EMERG)
疼痛等級的日志信息,系統(tǒng)已經(jīng)無法使用了。
*
代表所有日志等級,比如:"authpriv.*”代表authpriv認證信息服務(wù)產(chǎn)生的日志,所有的日志等級都記錄。
debug日志等級最低, emerg日志等級最高。日志等級低,他記錄的日志信息可能就會多些。
提示:
日志等級這里還可以識別none,如果日志等級是none,就說明忽略這個日志服務(wù),該服務(wù)的所有日志都不再記錄。
@5、日志記錄位置
日志記錄位置就是當前日志輸出到哪個日志文件中保存,當然也可以把日志輸出到打印機打印,或者輸出到遠程日志服務(wù)器上(當然日志服務(wù)器要允許接收才行)。日志的記錄位置也是固定的,我們來學習下:
日志文件的絕對路徑。這是最常見的日志保存方法,如/var/log/secure就是保存系統(tǒng)驗證和授權(quán)信息日志的。
系統(tǒng)設(shè)備文件。如/dev/lp0代表第一臺打印機,如果日志保存位置是打印機設(shè)備的話,當有日志時就會在打印機打印(現(xiàn)在基本上沒有這種情況了,請放棄)。
轉(zhuǎn)發(fā)給遠程主機。因為可以選擇使用TCP協(xié)議和UDP協(xié)議傳輸日志信息,所以有兩種發(fā)送格式。
如果使用@192.168.0.210:514,就會把日志內(nèi)容使用UDP協(xié)議發(fā)送到192.168.0.210的UDP 514端口上,
如果使用@@192.168.0.210:514就會把日志內(nèi)容使用TCP協(xié)議發(fā)送到192.168.0.210的TCP 514端口上。
其中514是日志服務(wù)默認端口。(知道有這個功能即可)
當然只要192.168.0.210服務(wù)器同意接收此日志,就可以把日志內(nèi)容保存在日志服務(wù)器上。
用戶名。如"root",就會把日志發(fā)送給root用戶,當然root要在在線,否則就收不到日志信息了。
發(fā)送日志給用戶時,可以使用*代表發(fā)送給所有在線用戶,如mail.emerg *就會把mail服務(wù)產(chǎn)生的所有級別的日志發(fā)送給所有在線用戶。
如果需要把日志發(fā)送給多個在線用戶,用戶名之間用,分隔。
~:忽略或丟棄日志。如果接受日志的對象是~,代表這個日志不會記錄,而被直接丟棄。
例如local3.* ~代表忽略local3服務(wù)類型所有的日志都不記錄。
(3)定義自己的日志
為什么需要自己定義日志配置文件。
因為我們?nèi)粘9ぷ髦?#xff0c;可能需要對某些日志信息做一些操作。有自定義的日志信息,按照自己習慣或者方便查看的方式定義日志信息格式,作為模板,我們能夠更好的操作日志。
# 1.編輯/etc/rsyslog.conf配置文件。
[root@localhost ~]# vim /etc/rsyslog.conf
# 寫入如下日志信息配置。
# 把所有服務(wù)的“錯誤信息”以上的錯誤都保存在/var/log/err.log日志文件中。
*.err /var/log/err.log
# 2.重啟rsyslog服務(wù)。
[root@localhost ~]# service rsyslog restart
關(guān)閉系統(tǒng)日志記錄器: [確定]
啟動系統(tǒng)日志記錄器: [確定]
# 3.重啟rsyslog服務(wù)完成后,查看/var/log/目錄下,是否有err.log文件。
[root@localhost ~]# ll /var/log/err.log
-rw-------.1 root root 06月 6 16:33 /var/log/err.log
# 查看到了err.log日志文件,說明上面配置的"*.err"自定義日志生效了。
總結(jié)
以上是生活随笔為你收集整理的linux日志服务是哪个,『学了就忘』Linux日志管理 — 2.日志服务rsyslogd的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux新建yaml文件,yaml文件
- 下一篇: linux日志队列长度,Linux 消息