文档介绍:浅析Linux日志管理L1志用来记录用户操作、系统运行状态等,是一个系统的重要组成部分。然而由于口志并非系统核心功能,通常情况下并不受大家的重视。实际上口志记录的好坏直接关系到系统出现问题时定位的速度,同时对以通过对日志的观察和分析,提前发现系统可能的风险,避免线上事故的发生。Linux上的日志系统早期的版本有syslog,后來推出了其升级版syslog-ng和rsyslog,目前很多Linux发型版本都已经用rsyslog替代了口带的syslog。下面我们主要介绍rsyslogorsyslog提供了一个便于管理员理解Fl志的机制,即以英文文本来记录系统消息。系统II志消息屮有标准格式的消息(称为系统日志消息、系统错谋消息或简单系统消息),也有从调试命令输出的消息。这些消息是在网络运作过程中生成的,旨在指明网络问题的类型和严重程度,或者帮助读者用户检测路由器的活动,比如配置的变更。两个重要进程LinuxFl志记录系统山系统H志监控程序syslogd和内核Fl志监控程序klogd组成。从它们的命名可以看到,这两个临控程序都是守护程序(daemon),H都注册成了系统服务。换句话说,我们可以在bl录/etc/,并通过service命令对它们进行启动,关闭,重启等操作。[rootQexOl servicersyslogstatusrsyslogd(pid2200)正在运行•…[******@ex01〜]#psaux|grepsyslogd|grep-vgreproot 1200 35980 1532? Si18:59 0:00/sbin/rsyslogd-i/var7run/-c5日志服务主配置文件rsyslog的主配置文件为/etc/,在配置文件屮,对日志系统的格式做出了明确的定义,其格式为《facility,priority action》,其中第一列facility,priority用来指定日志功能和日志级别,中间用•隔开,可以使用*来匹配所有的LI志功能和日志级别,〃设备〃标识发出消息的了系统,町以把同一类型的消息组合在一起,〃优先级〃表示消息的重要性,其范围从debug(最不重要)到emerg(最重要)。第二列action定义消息的分发目标,或收到消息后如何处理。下表具体介绍下facility、priority和action都包含哪些含义。描述常见实例解释faci1ity(第一列)〃设备〃标识发出消息的了系统,町以把同一类型的消息组合在•起,d守护进程有关的信息kern内核信息,首先通过klogd传递Ipr与打印服务有关的信息mail与电子邮件有关的信息marksyslog内部功能用于生成时间戳news来H新闻服务器的信息security安全相关的信息,与auth类似syslog由syslog生成的信息user由用户程序生成的信息uucp由UUCP生成的信息1ocal0 local7与自定义程序使用,例如使用1oca15做为ssh功能*通配符代表除了mark以外的所有功能priority(第二列)〃优先级〃农示消息的重要性,其范围从debug(最不重要)到cmcrg(最重要)Emerg(紧急)该系统不可用Alert(警报)需要立即被修改的条件Crit(