rsyslog日志
日志是系统用来记录系统运行时的一些相关信息的纯文本文件;
日志的目的是为了保存相关程序的运行状态,错误信息等,为了对系统进行分析,保存历史记录以及在出现错误是时候发现分析错误;
Linux系统一般会保存以下类型的日志:
- 内核信息
- 服务信息
- 应用程序信息
什么是rysylog?
在Linux系统中用来实现日志功能的服务称之为rsyslog;在centos 5及更早版本中使用的是syslog,rsyslog是syslog的增强版本;
如何进行使用:
rsyslog一般默认安装了的,并且被设置位开机自启
systemctl status rsyslog
配置文件:
/etc/rsyslog.conf
日志消息一般保存在/var/log目录下
Facility是什么?
rsyslog通过facility概念来定义日志消息的来源,以便对日志进行分类;
facility有以下几种:
- kern #内核消息
- user #用户级消息
- mail #邮件系统消息
- daemon #系统服务消息
- auth #认证系统消息
- syslog #日志系统自身消息
- lpr #打印系统消息
- authprlv #权限系统消息
- cron #定时任务消息
- news #新闻系统消息
- uucp #uucp系统消息
- ftp #ftp服务消息
- local0-local7
消息级别:
除了日志来源以外,对于同一来源产生的日志消息,还进行了优先级划分;优先级分为以下几种:
- emergency #系统已经不可用
- alert #必须立即进行处理
- critical #严重错误
- error #错误
- warning #警告
- notice #正常信息,但是较为重要
- informational #正常消息info
- debug #调试消息
如何进行rsyslog的配置
1.rsyslog配置文件中的日志配置规则如下:
facility.priority log_location
(来源).(优先级)如:
mail.* -/var/log/maillog
-表示:当日志写入不需要等待,日志已经同步了
cron.* /var/log/cron
2.如果需要将日志发送至一个统一的日志服务器,则可以按如下配置:
. @192.168.1.1 (使用UDP协议发送)
. @@192.168.1.1 (使用TCP协议发送)
. 表示所有来源和所有优先级
