日志分类

Linux的日志文件一般位于 /var/log 文件夹,一般有以下几个:

cron: crontab例行事务的日志

dmesg: 内核启动时的检测信息,输出同 dmesg 命令

lastlog: 所有帐号最后一次登录的相关信息,输出同 lastlog 命令

maillog: 邮件来往信息

messages : 系统错误信息

secure : 涉及到“输入口令”的操作,都会记录于此

wtmp与faillog: 登录成功的用户信息(wtmp)和登录失败的用户信息(faillog)

httpd, samba等 : 不同的网络服务用自己的定制的日志文件

 

日志管理服务

日志一般由进程syslogd管理

syslogd提供以下日志服务

服务类别 说明
auth (authpriv) 主要与认证有关的机制,例如 login, ssh, su 等需要帐号/口令的咚咚;
cron 就是例行性工作排程 cron/at 等产生信息记录的地方;
daemon 与各个 daemon 有关的信息;
kern 就是核心 (kernel) 产生信息的地方;
lpr 亦即是列印相关的信息啊!
mail 只要与邮件收发有关的信息纪录都属於这个;
news 与新闻群组服务器有关的东西;
syslog 就是 syslogd 这支程序本身产生的资讯啊!
user, uucp, local0 ~ local7 与 Unix like 机器本身有关的一些信息。

/etc/syslog.conf 是 syslogd的配置文件,它的语法如下

    服务  连接符  错误等级                                                                日志文件路径

news.notice                                        /var/log/news/news.notice

以上为例,news是他的服务名称, "." 这个符号是连接符, notice是错误等级, 后面的路径是日志文件路径

其中,连接符有以下几种
  • :代表『比后面还要高的等级 (含该等级) 都被记录下来』的意思,例如: mail.info 代表只要是 mail 的资讯,而且该资讯等级高於 info (含 info 本身)时,就会被记录下来的意思。
  • .=:代表所需要的等级就是后面接的等级而已, 其他的不要!
  • .!:代表不等於, 亦即是除了该等级外的其他等级都记录。

错误等级有以下几种

等级 等级名称 说明
1 info 仅是一些基本的信息说明而已;
2 notice 比 info 还需要被注意到的一些资讯内容;
3 warning
(warn)
警示的信息,可能有问题,但是还不至於影响到某个 daemon 运行的资讯;基本上, info, notice, warn 这三个信息都是在告知一些基本资讯而已,应该还不至於造成一些系统运行困扰;
4 err 
(error)
一些重大的错误信息,例如配置档的某些配置值造成该服务服法启动的资讯说明, 通常藉由 err 的错误告知,应该可以了解到该服务无法启动的问题呢!
5 crit 比 error 还要严重的错误资讯,这个 crit 是临界点 (critical) 的缩写,这个错误已经很严重了喔!
6 alert 警告警告,已经很有问题的等级,比 crit 还要严重!
7 emerg 
(panic)
疼痛等级,意指系统已经几乎要死机的状态! 很严重的错误资讯了。通常大概只有硬件出问题,导致整个核心无法顺利运行,就会出现这样的等级的信息吧!


另外,有的日志文件路径前会有一个 “-” 号,例如
mail.*                                              -/var/log/maillo
他的作用表示先将日志内容写入缓存,最后再一起写入日志文件



日志服务器配置

工作服务器配置

# 1. Server 端:修改 syslogd 的启动配置档,通常在 /etc/sysconfig 内!
[root@www ~]# vim /etc/sysconfig/syslog
# 找到底下这一行:
SYSLOGD_OPTIONS="-m 0"
# 改成底下这样子!
SYSLOGD_OPTIONS="-m 0 -r"

# 2. 重新启动与观察 syslogd 喔!
[root@www ~]# /etc/init.d/syslog restart
[root@www ~]# netstat -lunp | grep syslog
Proto Recv-Q Send-Q Local Address  Foreign Address State   PID/Program name
udp        0      0 0.0.0.0:514    0.0.0.0:*               13981/syslogd

日志服务器配置

[root@www ~]# vim /etc/syslog.conf
*.*       @192.168.1.100

最后重启syslogd即可





posted on 2013-01-25 13:58  ZimZz  阅读(1936)  评论(0编辑  收藏  举报