RHEL&Centos下syslog的配置

syslog的严重级别：emerg,alert,crit,err,warning,notice,info,debug,依次递减 
linux下使用syslog的设备： 
＊ 除mark外的所有设备 
authpriv 安全，授权有关，secure,ssh,authpriv.* /var/log/secure 
cron cron daemon 
daemon 系统守护进程 
ftp ftpd 
kern 内核 
local0-7 本地消息8种类型 
lpr 打印机 
mail sendmail,postfix,qmail等日志 
mark 定期产生的时间戳 
news usenet 
syslog syslogd内部消息 
user 用户进程 
uucp uucp 保留 
具体配置可参考/etc/syslog.conf,/etc/logrotate.conf,/etc/logrotate.d/* 
以上是单机syslog的实现，以下是专用syslog服务器的配置 
1,client /etc/syslog.conf 中 日志的路径为@hostname @ip 如：authpriv.* @192.168.0.110 
2,server 默认不接受来自外部的日志消息，需要加上-r参数，-h取消，如 service syslog stop;syslogd -r 
调试 
如：logger -p mail.info "this is a test message" ,看是否些到了/var/log/maillog里，附logger p参数的man手册的说明 
   Enter the message with the specified priority.  The priority may be specified numerically or as a ‘‘facility.level’’ pair.  For example, ‘‘-p local3.info’’ logs the message(s) as informational level in the local3 facility.  The default is ‘‘user.notice.’’ 
分析log 
可用swatch,logcheck,logwatch查看，当然，我更愿意自己写shell来定制。 
在一个中，大型的服务器，网络架构中，syslog可以和其他的监控服务，如nagios,cacti，配合的很好。 
监控WINDOWS2003日志 
用到一个小软件evtsys，把evtsys.dll和evtsys.exe复制到system32下，执行命令 
C:\>evtsys -i -h 192.168.10.100
-i 表示安装成系统服务
-h 指定log服务器的IP地址
如果要卸载evtsys,则：
net stop evtsys
evtsys -u
启动该服务:
C:\>net start evtsys
在syslog服务器的syslog.conf中，添加daemon.* 日志存放路径


系统日志是由一个名为syslog的服务管理的，如以下日志文件都是由syslog日志服务驱动的：
/var/log/lastlog ：记录最后一次用户成功登陆的时间、登陆IP等信息
/var/log/messages ：记录Linux操作系统常见的系统和服务错误信息
/var/log/secure ：Linux系统安全日志，记录用户和工作组变坏情况、用户登陆认证情况
/var/log/btmp ：记录Linux登陆失败的用户、时间以及远程IP地址
/var/log/cron ：记录crond计划任务服务执行情况
 
例如，messages下载到本地查看的话，可以使用UltraEdit来阅读。如果你的日志中有中文，可能会出现乱码，只需要在UE中进行编码转换即可：打开messages，ultraEdit－>文件－>转换－>UNICODE/UTF-8 to UTF-8(Unicode editing)