syslog日志
博客专区 > 贾峰uk 的博客 > 博客详情
syslog日志
贾峰uk 发表于7个月前
syslog日志
  • 发表于 7个月前
  • 阅读 5
  • 收藏 1
  • 点赞 0
  • 评论 0

1.  架构介绍

Unix/Linux系统中的大部分日志都是通过一种叫做syslog的机制产生和维护的。Syslog是一种标准协议,分为客户端和服务端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息。

几乎所有的网络设备都可以通过syslog协议,将日志信息通过UDP方式传送到远端服务器,远端接收日志服务器必须通过syslogd监听UDP端口514。

Linux系统根据 syslog.conf配置文件中的配置处理本机接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。

2.  Syslog配置

Linux系统syslog配置文件:/etc/syslog.conf

配置格式:facility.level                                         action

facilitysyslog功能,及收集那些日志主要有

kern:内核信息,首先通过klogd传递;

user:用户进程;

mail:邮件;

daemon:后台进程;

authpriv:授权信息;

syslog:系统日志;

lpr:打印信息;

news:新闻组信息;

uucp:由uucp生成的信息;

cron:计划和任务信息;

mark:syslog内部功能用于生成时间戳;

local0---local7:自定义程序使用;

*:     通配符代表除了mark以外的所有功能。

level指定syslog优先级

emerg/panic:“该系统不可用”(最紧急消息)

alert:需要立即被修改的条件(紧急消息)

crit:阻止工具或子系统功能实现的错误条件(重要消息)

err: 阻止工具或子系统部分功能实现的错误条件(出错消息)

warning: 预警信息(警告消息)

notice: 具有重要性的普通条件(普通但重要的消息)

info: 提供信息的消息(通知性消息)

debug: 不包含函数条件或问题的其他信息(调试级-信息量最多)

none: 没有重要级,通常用于排错(不记录任何日志消息)

*: 所有级别,除了none

action指定记录日志活动

1.       /var/log/lastlog:记录每个使用者最近签入系统的时间,可以通过lastlog命令读取。(root用户最近登陆信息:lastlog -u root)

2.       /var/run/utmp:记录每个用户签入系统的时间, who, users, finger 等指令会查这个档案。

3.       /var/log/wtmp:记录每个使用者签入及签出的时间, last 这个指令会查这个档案. 这个档案也记录 shutdown 及 reboot 的动作。

4.       /var/log/secure:登陆系统的信息。

5.       /var/log/maillog:记录sendmail和pop等相关讯息。

6.       /var/log/cron : 记录 crontab 的相关讯息 ,定时器的信息。

7.        /var/log/dmesg : /bin/dmesg 会将这个档案显示出来, 它是开机时的画面讯息。

8.       /var/log/xferlog : 记录那些位址来 ftp 拿取那些档案。

9.       /var/log/messages : 系统大部份的讯息皆记录在此, 包括 login, check password , failed login, ftp, su 等。

10.   @192.168.0.1:UDP发送到指定syslog服务端的514端口上。

配置实例

3.  日志管理

syslogd守护进程

syslogd –r:执行该命令后syslogd 将会监听从 514 端口上进来的 UDP 包。

syslogd –h:执行该命令后syslogd日志服务器能传送日志信息。

klogd守护进程

klogd 守护进程获得并记录 Linux 内核信息。

 

4.  配置一个中央日志服务器

1.     编辑服务器syslog配置文件

编辑/etc/sysconfig/syslog文件,配置“SYSLOGD_OPTIONS”如:SYSLOGD_OPTIONS="-r-x-m240",-r表示允许接受外来日志,-x表示不起解析其他机器的FQDN,-m240表示每个240分钟在日志文件中出现一次时间戳标志信息。

2.     重启syslogd守护进程

/etc/rc.d/init.d/syslog stop;   /etc/rc.d/init.d/syslog start

或者

/etc/rc.d/init.d/syslog restart

3.     运行514端口通过防火墙

4.     为中央日志服务器配置客户机

        1)编辑客户机上的/etc/syslog.conf文件,在有关配置行的操作动作部分用一个“@”字符指向中央日志服务器,例如:

authpriv.*        @192.168.1.40

        2)另一种办法是在DNS里定义一个名为“loghost”的机器,然后对客户机的syslog配置文件做如下修改(这个办法的好处是:当你把中央日志服务器换成另一台机器时,不用再修改每一个客户机上的syslog配置文件)

authpriv.*       @loghost

        接下来,重新启动客户机上的syslog守护进程让修改生效。

测试日志收集

在客户机上面配置好:

/etc/syslog.conf

重启守护进程

/etc/rc.d/init.d/syslog restart

然后我们再编写一个c程序用来产生日志消息

先对程序进行编译gcc -o syslog syslog.c

然后运行程序./syslog

然后我们进入服务器端查看配置,除了mail/authpriv等信息都会被记录到/var/log/messages日志中。

查看/var/log/messages日志。

到这里我们配置以及完成了测试成功。

下面看一下c程序中用到的方法和参数。

方法:openlog()3个参数

第一个参数:日志记录标志字符串。

第二个参数:下面标志位组合

LOG_CONS:日志信息在写给日志服务器的同时打印到终端
       LOG_NDELAY:立即记录日志
       LOG_PERROR:把日志信息也输出到标准错误流
       LOG_PID:在标志字段中记录进程的PID值

第三个参数:说明日志类型(跟我们配置的news类型消息发送到服务器端对应)

方法syslog()

第一个参数:日志级别

   第二个以后的参数:类似于pringf方法类似,输出日志内容。

方法closelog() 关闭日志记录。

共有 人打赏支持
粉丝 0
博文 31
码字总数 46309
×
贾峰uk
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: