Linux rsyslogd服务学习

本篇笔记来自该博客:
http://c.biancheng.net/view/1097.html

服务简介

在CentOS 6.x 中日志服务已经由 rsyslogd 取代了原先的 syslogd。rsyslogd 相比 syslogd 具有一些新的特点:

  • 基于TCP网络协议传输日志信息。
  • 更安全的网络传输方式。
  • 有日志信息的即时分析框架。
  • 后台数据库。
  • 在配置文件中可以写简单的逻辑判断。
  • 与syslog配置文件相兼容。
    查看Linux中rsyslog服务是否启动,以及服务自启动状态:
ps aux | grep "rsyslog" | grep -v "grep" 
# 有rsyslogd服务的进程,则服务已经启动
chkconfig --list | grep rsyslog
# rsyslog服务在2、3、4、5运行级别上是开机自启动的

系统中的绝大多数日志文件是由 rsyslogd 服务来统一管理的,只要各个进程将信息给予这个服务,它就会自动地把日志按照特定的格式记录到不同的日志文件中。也就是说,采用 rsyslogd 服务管理的日志文件,它们的格式应该是统一的。

在 Linux 系统中有一部分日志不是由 rsyslogd 服务来管理的,比如 apache 服务,它的日志是由 Apache 软件自己产生并记录的,并没有调用 rsyslogd 服务。但是为了便于读取,apache 日志文件的格式和系统默认日志的格式是一致的。

日志文件

/var/log/ 目录就是系统日志文件的保存位置
image
除系统默认的日志之外,采用 RPM 包方式安装的系统服务也会默认把日志记录在 /var/log/ 目录中(源码包安装的服务日志存放在源码包指定的目录中)。不过这些日志不是由 rsyslogd 服务来记录和管理的,而是各个服务使用自己的日志管理文档来记录自身的日志。以下介绍的日志目录在你的 Linux 上不一定存在,只有安装了相应的服务,日志才会出现。
image

日志格式

日志文件的格式包含以下 4 列:

  • 事件产生的时间。
  • 产生事件的服务器的主机名。
  • 产生事件的服务名或程序名。
  • 事件的具体信息。

rsyslog配置文件/etc/rsyslog.conf

rsyslogd 服务是依赖其配置文件 /etc/rsyslog.conf 来确定哪个服务的什么等级的日志信息会被记录在哪个位置的。也就是说,日志服务的配置文件中主要定义了服务的名称、日志等级和日志记录位置。

/etc/rsyslog.conf文件格式

authpriv.* /var/log/secure
#服务名称[连接符号]日志等级 日志记录位置
#认证相关服务.所有日志等级 记录在/var/log/secure日志中

rsyslog可以识别的服务日志

image
这些日志服务名称是rsyslogd服务自己定义的,并不是实际的Linux的服务。当有服务需要由rsyslogd服务来帮助管理日志时,只需要调用这些服务名称就可以实现日志的委托管理。

连接符号

日志服务连接日志等级的格式如下:

日志服务[连接符号]日志等级 日志记录位置
posted @ 2021-07-08 18:21  echonly  阅读(126)  评论(0编辑  收藏  举报