rsyslog 日志服务

日志的记录方式     分类→级别→

日志的分类:（类别）

daemon  后台进程相关 

kern      内核产生的信息

lpr         打印系统产生的

authpriv  安全认证

cron       定时相关

mail        邮件相关

syslog   日志服务本身的

news       新闻系统

local0~7  自定义的日志设备

local0-local7    8个系统保留的类， 供其它的程序使用或者是用户自定义

日志的级别:  轻→重

编码	优先级	严重性
7	debug	信息对开发人员调试应用程序有用，在操作过程中无用
6	info	正常的操作信息，可以收集报告，测量吞吐量等
5	notice	注意，正常但重要的事件，
4	warning	警告，提示如果不采取行动。将会发生错误。比如文件系统使用90%
3	err	错误，阻止某个模块或程序的功能不能正常使用
2	crit	关键的错误，已经影响了整个系统或软件不能正常工作的信息
1	alert	警报,需要立刻修改的信息
0	emerg	紧急，内核崩溃等严重信息

rsyslog日志服务

rhel5    ->服务名称syslog  ->配置文件  /etc/syslog.conf

rhel6-8  ->服务名称rsyslog ->配置文件  /etc/rsyslog.conf

我们来查看一下日志的配置文件信息：

编辑配置文件  vim /etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

authpriv.*                                              /var/log/secure

mail.*                                                  -/var/log/maillog

cron.*                                                  /var/log/cron

*.emerg                                                 :omusrmsg:*

uucp,news.crit                                          /var/log/spooler

local7.*                                                /var/log/boot.log

注释：

#$UDPServerRun 514  #允许514端口接收使用UDP协议转发过来的日志

#$InputTCPServerRun  514  #允许514端口接收使用TCP协议转发过来的日志

#kern.*    内核类型的所有级别日志→存放到→        /dev/console

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

所有的类别级别是info以上 除了mail,authpriv,cron (产生的日志太多,不易于查看)

类别.级别

authpriv.*      认证的信息→存放→                  /var/log/secure

mail.*         邮件相关的信息→存放→             -/var/log/maillog

cron.*         计划任务相关的信息→存放→            /var/log/cron

local7.*        开机时显示的信息→存放→            /var/log/boot.log

注：

“- ”号： 邮件的信息比较多,现将数据存储到内存,达到一定大小,全部写到硬盘.有利于减少I/O进程的开销数据存储在内存,如果关机不当数据消失

日志输入的规则

. info      大于等于info级别的信息全部记录到某个文件

.=级别    仅记录等于某个级别的日志

例:.=info  只记录info级别的日志 

.! 级别     除了某个级别以外,记录所有的级别信息

例.!err  除了err外记录所有

.none  指的是排除某个类别  例： mail.none  所有mail类别的日志都不记录