rsyslog 日志服务
日志的记录方式 分类→级别→
日志的分类:(类别)
daemon 后台进程相关
kern 内核产生的信息
lpr 打印系统产生的
authpriv 安全认证
cron 定时相关
mail 邮件相关
syslog 日志服务本身的
news 新闻系统
local0~7 自定义的日志设备
local0-local7 8个系统保留的类, 供其它的程序使用或者是用户自定义
日志的级别: 轻→重
|
编码 |
优先级 |
严重性 |
|
7 |
debug |
信息对开发人员调试应用程序有用,在操作过程中无用 |
|
6 |
info |
正常的操作信息,可以收集报告,测量吞吐量等 |
|
5 |
notice |
注意,正常但重要的事件, |
|
4 |
warning |
警告,提示如果不采取行动。将会发生错误。比如文件系统使用90% |
|
3 |
err |
错误,阻止某个模块或程序的功能不能正常使用 |
|
2 |
crit |
关键的错误,已经影响了整个系统或软件不能正常工作的信息 |
|
1 |
alert |
警报,需要立刻修改的信息 |
|
0 |
emerg |
紧急,内核崩溃等严重信息 |
rsyslog日志服务
rhel5 ->服务名称syslog ->配置文件 /etc/syslog.conf
rhel6-8 ->服务名称rsyslog ->配置文件 /etc/rsyslog.conf
我们来查看一下日志的配置文件信息:
编辑配置文件 vim /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
注释:
#$UDPServerRun 514 #允许514端口接收使用UDP协议转发过来的日志
#$InputTCPServerRun 514 #允许514端口接收使用TCP协议转发过来的日志
#kern.* 内核类型的所有级别日志→存放到→ /dev/console
*.info;mail.none;authpriv.none;cron.none /var/log/messages
所有的类别级别是info以上 除了mail,authpriv,cron (产生的日志太多,不易于查看)
类别.级别
authpriv.* 认证的信息→存放→ /var/log/secure
mail.* 邮件相关的信息→存放→ -/var/log/maillog
cron.* 计划任务相关的信息→存放→ /var/log/cron
local7.* 开机时显示的信息→存放→ /var/log/boot.log
注:
“- ”号: 邮件的信息比较多,现将数据存储到内存,达到一定大小,全部写到硬盘.有利于减少I/O进程的开销数据存储在内存,如果关机不当数据消失
日志输入的规则
. info 大于等于info级别的信息全部记录到某个文件
.=级别 仅记录等于某个级别的日志
例:.=info 只记录info级别的日志
.! 级别 除了某个级别以外,记录所有的级别信息
例.!err 除了err外记录所有
.none 指的是排除某个类别 例: mail.none 所有mail类别的日志都不记录