作者:
華江
從目前的情況來看,Syslog(系統日志)這一歷史悠久的日志系統仍舊占據著最主流的地位。由于與類 UNIX平臺之間的淵源,Syslog是在實際應用環境中最容易獲得的日志系統。 同時,還有很多的基于Syslog的擴展產品存在,這其中也包括大量基于UNIX平臺構建內核的 網絡 硬件設備,這些設備往往都內置了Syslog功能支持,例如Cisco 路由器 就是如此。
一、 配置syslog守護進程
syslog是Linux系統默認的日志守護進程。默認的syslog配置文件是/etc/syslog.conf文件。syslog守護進程是可配置 的,它允許人們為每一種類型的系統信息精確地指定一個存放地點。現在,我們先看看syslog.conf文件的配置行格式(這個文件里的每一個配置行都是 同樣的格式),然后再看一個完整的syslog配置文件。syslog配置行的格式如下所示:
mail.*/var/log/mail
這一行由兩個部分組成。第一個部分是一個或多個“選擇條件”;上例中的選擇條件是“mail”。選擇條件后面跟一些空格字符,然后是一個“操作動作”;上例中的操作動作是:/var/log/mail
1選擇條件
選擇條件本身分為兩個字段,之間用一個小數點(.)分隔。前一字段是一項服務,后一字段是一個優先級。選擇條件其實是對消息類型的一種分類,這種分類便于 人們把不同類型的消息發送到不同的地方。在同一個syslog配置行上允許出現一個以上的選擇條件,但必須用分號(;)把它們分隔開。上面給出的例子里只 有一個選擇條件“mail”。大家可以在我們后面給出的那個完整的syslog配置文件示例里看到同時有多個選擇條件的配置行。表1列出了絕大多數 Linux 操作系統 變體都可以識別的選擇條件。
2 優先級
優先級是選擇條件的第二個字段,它代表消息的緊急程度。對一個應用程序來說,它發出的哪些消息屬于哪一種優先級是由當初編寫它的程序員決定的,應用程序的 使用者只能接受這樣的安排——除非打算重新編譯系統應用程序。表2按嚴重程度由低到高的順序列出了所有可能的優先級。
3優先級限定符
syslog允許人們使用三種限定符對優先級進行修飾:星號(*)、等號(=)和嘆號(!)。熟悉規則表達式的讀者應該對這三種限定符不會感到陌生。星號 (*)的含義是“把本項服務生成的所有日志消息都發送到操作動作指定的地點”。就像它在規則表達式里的作用一樣,星號代表“任何東西”。在前面給出的例子 里,“mail.*”將把所有優先級的消息都發送到操作動作指定的/var/log/mail文件里。使用“*”限定符與使用“debug”優先級的效果 完全一樣,后者也將把所有類型的消息發送到指定地點。
等號(=)的含義是“只把本項服務生成的本優先級的日志消息都發送到操作動作指定的地點”。比如說,可以用“=”限定符只發送調試消息而不發送其他更緊急的消息(這將為應用程序減輕很多負擔)。當你只需要發送特定優先級別的消息時,就要使用等號限定符。
就像它在編程時的用法一樣,等號意味著等于且僅等于。嘆號(!)的含義是“把本項服務生成的所有日志消息都發送到操作動作指定的地點,但本優先級的消息不 包括在內”。比如說,這條syslog配置行將把除info優先級以外的所有消息發送到/var/log/mail文件里:
mail.*;mail.!info/var/log/mail
在這個例子里,“mail.*”將發送所有的消息,但“mail.!info”卻把info優先級的消息排除在外。就像它在編程時的用法一樣,嘆號意味著“非”。
4 操作動作
日志信息可以分別記錄到多個文件里,還可以發送到命名管道、其他程序甚至另一臺機器。syslog配置文件并不復雜,既容易閱讀又容易操作使用。這個文件里的注釋都非常有用,應該好好讀讀它們.
二、 建立一個中央日志 服務器
1建立中央日志 服務器 前的準備工作
配置良好的 網絡 服 務(DNS和NTP)有助于提高日志記錄工作的精確性。在默認情況下,當有其他機器向自己發送日志消息時,中央日志服務器將嘗試解析該機器的FQDN (fullyqualifieddomainname,完整域名)。(你可以在配置中央服務器時用“-x”選項禁止它這樣做。)如果syslog守護進程 無法解析出那個地址,它將繼續嘗試,這種毫無必要的額外負擔將大幅降低日志記錄工作的效率。類似地,如果你的各個系統在時間上不同步,中央日志服務器給某 個事件打上的時間戳就可能會與發送該事件的那臺機器打上的時間戳不一致,這種差異會在你對事件進行排序分析時帶來很大的困擾;對網絡時間進行同步有助于保 證日志消息的時間準確性。如果想消除這種時間不同步帶來的麻煩,先編輯/etc/ntp.conf文件,使其指向一個中央時間源,再安排ntpd守護進程 隨系統開機啟動就可以了。
2配置一個中央日志服務器
只須稍加配置,就可以用syslog實現一個中央日志服務器。任何一臺運行syslog守護進程的服務器都可以被配置成接受來自另一臺機器的消息,但這個 選項在默認情況下是禁用的。在后面的討論里,如無特別說明,有關步驟將適用于包括SUSE和RedHat在內的大多數Linux發行版本。我們先來看看如 何激活一個syslog服務器接受外來的日志消息:
1. 編輯/etc/sysconfig/syslog文件。
在“SYSLOGD_OPTIONS”行上加“-r”選項以允許接受外來日志消息。如果因為關于其他機器的DNS記錄項不夠齊全或其他原因不想讓中央日志 服務器解析其他機器的FQDN,還可以加上“-x”選項。此外,你或許還想把默認的時間戳標記消息(--MARK--)出現頻率改成比較有實際意義的數 值,比如240,表示每隔240分鐘(每天6次)在日志文件里增加一行時間戳消息。日志文件里的“--MARK--”消息可以讓你知道中央日志服務器上的 syslog守護進程沒有停工偷懶。按照上面這些解釋寫出來的配置行應該是如下所示的樣子:
SYSLOGD_OPTIONS="-r-x-m240"
2.重新啟動syslog守護進程。修改只有在syslog守護進程重新啟動后才會生效。如果你只想重新啟動syslog守護進程而不是整個系統,在RedHat機器上,執行以下兩條命令之一:
/etc/rc.d/init.d/syslogstop;/etc/rc.d/init.d/syslogstart
/etc/rc.d/init.d/syslogrestart
3.如果這臺機器上運行著iptables防火墻或TCPWrappers,請確保它們允許514號端口上的連接通過。syslog守護進程要用到514號端口。
4為中央日志服務器配置各客戶機器
讓客戶機把日志消息發往一個中央日志服務器并不困難。編輯客戶機上的/etc/syslog.conf文件,在有關配置行的操作動作部分用一個“@”字符指向中央日志服務器,如下所示:
authpriv.*@192.168.1.40
另一種辦法是在DNS里定義一個名為“loghost”的機器,然后對客戶機的syslog配置文件做如下修改(這個辦法的好處是:當你把中央日志服務器換成另一臺機器時,不用再修改每一個客戶機上的syslog配置文件):
authpriv.*@loghost
接下來,重新啟動客戶機上的syslog守護進程讓修改生效。讓客戶機在往中央日志服務器發送日志消息的同時繼續在本地進行日志工作仍有必要,起碼在調試客戶機的時候不必到中央日志服務器查日志,在中央日志服務器出問題的時候還可以幫助調試。
從目前的情況來看,Syslog(系統日志)這一歷史悠久的日志系統仍舊占據著最主流的地位。由于與類 UNIX平臺之間的淵源,Syslog是在實際應用環境中最容易獲得的日志系統。 同時,還有很多的基于Syslog的擴展產品存在,這其中也包括大量基于UNIX平臺構建內核的 網絡 硬件設備,這些設備往往都內置了Syslog功能支持,例如Cisco 路由器 就是如此。
一、 配置syslog守護進程
syslog是Linux系統默認的日志守護進程。默認的syslog配置文件是/etc/syslog.conf文件。syslog守護進程是可配置 的,它允許人們為每一種類型的系統信息精確地指定一個存放地點。現在,我們先看看syslog.conf文件的配置行格式(這個文件里的每一個配置行都是 同樣的格式),然后再看一個完整的syslog配置文件。syslog配置行的格式如下所示:
mail.*/var/log/mail
這一行由兩個部分組成。第一個部分是一個或多個“選擇條件”;上例中的選擇條件是“mail”。選擇條件后面跟一些空格字符,然后是一個“操作動作”;上例中的操作動作是:/var/log/mail
1選擇條件
選擇條件本身分為兩個字段,之間用一個小數點(.)分隔。前一字段是一項服務,后一字段是一個優先級。選擇條件其實是對消息類型的一種分類,這種分類便于 人們把不同類型的消息發送到不同的地方。在同一個syslog配置行上允許出現一個以上的選擇條件,但必須用分號(;)把它們分隔開。上面給出的例子里只 有一個選擇條件“mail”。大家可以在我們后面給出的那個完整的syslog配置文件示例里看到同時有多個選擇條件的配置行。表1列出了絕大多數 Linux 操作系統 變體都可以識別的選擇條件。
2 優先級
優先級是選擇條件的第二個字段,它代表消息的緊急程度。對一個應用程序來說,它發出的哪些消息屬于哪一種優先級是由當初編寫它的程序員決定的,應用程序的 使用者只能接受這樣的安排——除非打算重新編譯系統應用程序。表2按嚴重程度由低到高的順序列出了所有可能的優先級。
不同的服務類型有不同的優先級,數值較大的優先級涵蓋數值較小的優先級。如果某個選擇條件只給出了一個優先級而沒有使用任何優先級限定符,對應于這個優先 級的消息以及所有更緊急的消息類型都將包括在內。比如說,如果某個選擇條件里的優先級是“warning”,它實際上將把“warning”、 “err”、“crit”、“alert”和“emerg”都包括在內。
3優先級限定符
syslog允許人們使用三種限定符對優先級進行修飾:星號(*)、等號(=)和嘆號(!)。熟悉規則表達式的讀者應該對這三種限定符不會感到陌生。星號 (*)的含義是“把本項服務生成的所有日志消息都發送到操作動作指定的地點”。就像它在規則表達式里的作用一樣,星號代表“任何東西”。在前面給出的例子 里,“mail.*”將把所有優先級的消息都發送到操作動作指定的/var/log/mail文件里。使用“*”限定符與使用“debug”優先級的效果 完全一樣,后者也將把所有類型的消息發送到指定地點。
等號(=)的含義是“只把本項服務生成的本優先級的日志消息都發送到操作動作指定的地點”。比如說,可以用“=”限定符只發送調試消息而不發送其他更緊急的消息(這將為應用程序減輕很多負擔)。當你只需要發送特定優先級別的消息時,就要使用等號限定符。
就像它在編程時的用法一樣,等號意味著等于且僅等于。嘆號(!)的含義是“把本項服務生成的所有日志消息都發送到操作動作指定的地點,但本優先級的消息不 包括在內”。比如說,這條syslog配置行將把除info優先級以外的所有消息發送到/var/log/mail文件里:
mail.*;mail.!info/var/log/mail
在這個例子里,“mail.*”將發送所有的消息,但“mail.!info”卻把info優先級的消息排除在外。就像它在編程時的用法一樣,嘆號意味著“非”。
4 操作動作
日志信息可以分別記錄到多個文件里,還可以發送到命名管道、其他程序甚至另一臺機器。syslog配置文件并不復雜,既容易閱讀又容易操作使用。這個文件里的注釋都非常有用,應該好好讀讀它們.
二、 建立一個中央日志 服務器
1建立中央日志 服務器 前的準備工作
配置良好的 網絡 服 務(DNS和NTP)有助于提高日志記錄工作的精確性。在默認情況下,當有其他機器向自己發送日志消息時,中央日志服務器將嘗試解析該機器的FQDN (fullyqualifieddomainname,完整域名)。(你可以在配置中央服務器時用“-x”選項禁止它這樣做。)如果syslog守護進程 無法解析出那個地址,它將繼續嘗試,這種毫無必要的額外負擔將大幅降低日志記錄工作的效率。類似地,如果你的各個系統在時間上不同步,中央日志服務器給某 個事件打上的時間戳就可能會與發送該事件的那臺機器打上的時間戳不一致,這種差異會在你對事件進行排序分析時帶來很大的困擾;對網絡時間進行同步有助于保 證日志消息的時間準確性。如果想消除這種時間不同步帶來的麻煩,先編輯/etc/ntp.conf文件,使其指向一個中央時間源,再安排ntpd守護進程 隨系統開機啟動就可以了。
2配置一個中央日志服務器
只須稍加配置,就可以用syslog實現一個中央日志服務器。任何一臺運行syslog守護進程的服務器都可以被配置成接受來自另一臺機器的消息,但這個 選項在默認情況下是禁用的。在后面的討論里,如無特別說明,有關步驟將適用于包括SUSE和RedHat在內的大多數Linux發行版本。我們先來看看如 何激活一個syslog服務器接受外來的日志消息:
1. 編輯/etc/sysconfig/syslog文件。
在“SYSLOGD_OPTIONS”行上加“-r”選項以允許接受外來日志消息。如果因為關于其他機器的DNS記錄項不夠齊全或其他原因不想讓中央日志 服務器解析其他機器的FQDN,還可以加上“-x”選項。此外,你或許還想把默認的時間戳標記消息(--MARK--)出現頻率改成比較有實際意義的數 值,比如240,表示每隔240分鐘(每天6次)在日志文件里增加一行時間戳消息。日志文件里的“--MARK--”消息可以讓你知道中央日志服務器上的 syslog守護進程沒有停工偷懶。按照上面這些解釋寫出來的配置行應該是如下所示的樣子:
SYSLOGD_OPTIONS="-r-x-m240"
2.重新啟動syslog守護進程。修改只有在syslog守護進程重新啟動后才會生效。如果你只想重新啟動syslog守護進程而不是整個系統,在RedHat機器上,執行以下兩條命令之一:
/etc/rc.d/init.d/syslogstop;/etc/rc.d/init.d/syslogstart
/etc/rc.d/init.d/syslogrestart
3.如果這臺機器上運行著iptables防火墻或TCPWrappers,請確保它們允許514號端口上的連接通過。syslog守護進程要用到514號端口。
4為中央日志服務器配置各客戶機器
讓客戶機把日志消息發往一個中央日志服務器并不困難。編輯客戶機上的/etc/syslog.conf文件,在有關配置行的操作動作部分用一個“@”字符指向中央日志服務器,如下所示:
authpriv.*@192.168.1.40
另一種辦法是在DNS里定義一個名為“loghost”的機器,然后對客戶機的syslog配置文件做如下修改(這個辦法的好處是:當你把中央日志服務器換成另一臺機器時,不用再修改每一個客戶機上的syslog配置文件):
authpriv.*@loghost
接下來,重新啟動客戶機上的syslog守護進程讓修改生效。讓客戶機在往中央日志服務器發送日志消息的同時繼續在本地進行日志工作仍有必要,起碼在調試客戶機的時候不必到中央日志服務器查日志,在中央日志服務器出問題的時候還可以幫助調試。
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
