syslog作为linux中最古老的日志管理工具,我们在很多的系统中都能见到它的身影,本篇就来简单的介绍下它的基本用法。之所以它是古老的,因为现在很更好的日志工具来替代它,比如syslog-ng。
syslog概述
syslog作为守护进程可以提供比较方便的集中日志管理功能(通过crontab自动运行),对日志作一些操作,比如转储(logrotate),删除,压缩(compress)或者发送(mail address)至e-mail等。syslog的配置文件是/etc/syslog.conf,在这个文件中定义了一些转储级别和保存的路径等,下文会全面介绍这个文件中的选项。而/etc/logrotate.conf文件则定义了logrotage(转储)的总规则,在这个文件中的include /etc/logrotate.d目录则告诉我们一些细的规则,这个目录是一个标准的linux文件,所以一些软件可以在这里写入自己的日志规则,如我们常见的httpd,samba或者syslog等。
syslog使用的端口:
[root@localhost log]# cat /etc/services | grep syslog
syslog 514/udp
syslog体系结构:
syslogd:日志守护进程
openlog:将消息提交给syslogd
logger:将用户的日志记录提交给syslogd
syslogd在系统引导时启动连续运行,它不能用inetd来管理。懂得syslog的程序把日志项(使用syslog库例程)写到专门的文件/dev/log中,这是一个UNIX的域套接口。syslogd从这个文件中读取消息,参考其配置文件,并将各条信息分发到合适的目的地。
挂起信号(HUP,信号1)可以让syslogd关闭它的日志文件,重新读取它的配置文件,并再度开始日志记录。如果用户修改了/etc/syslog.conf,那么必须向syslogd发送一个挂起信号来使修改生效。--来自:LINUX系统管理技术手册(第2版)
在上文中提到,logrotate以cron来每天运行,那么我们来cat /etc/cron.daily/logrotate下,关于cron你可以参考linux cron详解
[root@localhost log]# cat /etc/cron.daily/logrotate
#!/bin/sh
/usr/sbin/logrotate /etc/logrotate.conf
EXITVALUE=$?
if [ $EXITVALUE != 0 ]; then
/usr/bin/logger -t logrotate “ALERT exited abnormally with [$EXITVALUE]”
fi
exit 0
解析:这样用户就把自己的日志消息记录到像/var/log/messages文件中了
/etc/logrotate.conf参数详解:
daily 指定转储周期为每天
weekly 指定转储周期为每周
monthly 指定转储周期为每月
compress 通过gzip压缩转储以后的日志
nocompress 不需要压缩时,用这个参数
copytruncate 用于还在打开中的日志文件,把当前日志备份并截断
nocopytruncate 备份日志文件但是不截断
create mode owner group 转储文件,使用指定的文件模式创建新的日志文件
nocreate 不建立新的日志文件
delaycompress 和 compress 一起使用时,转储的日志文件到下一次转储时才压缩
nodelaycompress 覆盖 delaycompress 选项,转储同时压缩。
errors address 专储时的错误信息发送到指定的Email 地址
ifempty 即使是空文件也转储,这个是 logrotate 的缺省选项。
notifempty 如果是空文件的话,不转储
mail address 把转储的日志文件发送到指定的E-mail 地址
nomail 转储时不发送日志文件
olddir directory 转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统
noolddir 转储后的日志文件和当前日志文件放在同一个目录下
prerotate/endscript 在转储以前需要执行的命令可以放入这个对,这两个关键字必须单独成行
postrotate/endscript 在转储以后需要执行的命令可以放入这个对,这两个关键字必须单独成行
rotate count 指定日志文件删除之前转储的次数,0 指没有备份,5 指保留5 个备份
tabootext [+] list 让logrotate 不转储指定扩展名的文件,缺省的扩展名是:.rpm-orig, .rpmsave, v, 和 ~
size size 当日志文件到达指定的大小时才转储,Size 可以指定 bytes (缺省)以及KB (sizek)或者MB (sizem).
sharedscripts 只为整个日志组运行一次
missingok 如果日志不存在,不会报错
对照这个列表,我们来理解一下httpd的转储规则:
[root@localhost log]# cat /etc/logrotate.d/httpd
/var/log/httpd/*log {
missingok
notifempty
sharedscripts
postrotate
/sbin/service httpd reload > /dev/null 2>/dev/null || true
endscript
}
解析:在/var/log/httpd目录下所有的log都遵守一个规则:日志不存在时(missingok),不报错;如果日志为空(notifempty),则不转储;只为这个日志组运行一个(sharedscripts);在转储之后执行postrotate/endscript之间的命令。
logrotate.conf文件样本:
[root@localhost log]# cat /etc/logrotate.conf
# see “man logrotate” for details
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4
# create new (empty) log files after rotating old ones
create
# uncomment this if you want your log files compressed
#compress
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own wtmp — we’ll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}
# system-specific logs may be also be configured here.
解析:logrotate.conf提供一个全局设定,include /etc/logrotate.d可能会覆盖这个文件的配置。
/etc/syslog.conf详解:
在syslog.conf中我们可以设定一些设备(这里的设备我理解为一些进程,比如mail–电子邮件相关,kern–内核等)的优先级或者消息的严重性等。
syslog的设备名
设备 使用该设备的程序
* 除了”mark”之外的所有设备
mark 定时产生的时间戳
auth 与安全和授权有关的命令
authpriv 敏感/保密的授权消息
cron cron的守护进程
daemon 系统守护进程
ftp FTP的守护进程ftpd
kern 内核
local0-7 本地消息的8种类型
lpr 打印机的守护进程
mail 电子邮件等的守护进程
syslog syslog内部消息
user 用户进程,一般来说,这是默认值
解析:su ssh passwd等程序属于auth;named cron inetd ntpd属于daemon;sudo属于local2;login属于authpriv
syslog的严重级别
级别 含义
emerg 恐慌状态
alert 紧急状态
crit 临界状态
err 其他错误情况
warning 警告消息
notice 需要调查的事项
info 提供消息的消息
debug 调试信息
说明:如果我们指定了mail的消息级别为mail.info(选择与邮件相关的,优先级为info的消息),那么位于info之上的所有级别消息都将被记录。
下面我们来看看一个具体的例子:
[root@localhost log]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don’t log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
解析:当把消息记录下来时,要使用日志文件的绝对路径,在上面的文件中我们看到mail行的后面-/var/log/maillog,在这里前面有一个”-”,这表明在写完一条日志后,不对文件系统执行sync(同步到硬盘)操作,这样可以降低IO操作。在消息第一次被记录到文件时,如果要记录的文件不存在,syslog会自动创建它。我们可以把syslog的消息转发给某一台机器(日志记录服务器),比如这样:
mail.* @主机名[@ip]
默认情况下,syslog不接收第三方的日志消息,我们得使用以-r标志来启动syslogd。在/etc/rc.d/init.d/syslog添加。需要说明的是,如果你把日志发送至日志记录服务器,你得确保这个服务器的可用性;当然为了安全起见,你可以在本地同时保留一份日志的副本。
日志处理分析工具:
swatch,用perl脚本来编写
logcheck,用sh编写
logwatch,即时监测和报警工具
后记:本文档的知识点来自LINUX系统管理技术手册(第2版)中文版,非常的不错,详情请看linux图书推荐。
syslog-ng参考文档:
http://baike.baidu.com/view/3426564.htm
http://www.6curl.com/syslog-ng2/
http://blog.chinaunix.net/u/12066/article_78677.html
本文linux日志管理之-syslog由康盛博客提供,转载请保留此链接
- 本文固定链接: http://www.wy182000.com/2011/01/14/linux日志管理之-syslog/
- 转载请注明: wy182000 于 Studio 发表