RHEL&Centos下syslog的配置
syslog的严重级别:emerg,alert,crit,err,warning,notice,info,debug,依次递减
linux下使用syslog的设备:
* 除mark外的所有设备
authpriv 安全,授权有关,secure,ssh,authpriv.* /var/log/secure
cron cron daemon
daemon 系统守护进程
ftp ftpd
kern 内核
local0-7 本地消息8种类型
lpr 打印机
mail sendmail,postfix,qmail等日志
mark 定期产生的时间戳
news usenet
syslog syslogd内部消息
user 用户进程
uucp uucp 保留
具体配置可参考/etc/syslog.conf,/etc/logrotate.conf,/etc/logrotate.d/*
以上是单机syslog的实现,以下是专用syslog服务器的配置
1,client /etc/syslog.conf 中 日志的路径为@hostname @ip 如:authpriv.* @192.168.0.110
2,server 默认不接受来自外部的日志消息,需要加上-r参数,-h取消,如 service syslog stop;syslogd -r
调试
如:logger -p mail.info "this is a test message" ,看是否些到了/var/log/maillog里,附logger p参数的man手册的说明
Enter the message with the specified priority. The priority may be specified numerically or as a ‘‘facility.level’’ pair. For example, ‘‘-p local3.info’’ logs the message(s) as informational level in the local3 facility. The default is ‘‘user.notice.’’
分析log
可用swatch,logcheck,logwatch查看,当然,我更愿意自己写shell来定制。
在一个中,大型的服务器,网络架构中,syslog可以和其他的监控服务,如nagios,cacti,配合的很好。
监控WINDOWS2003日志
用到一个小软件evtsys,把evtsys.dll和evtsys.exe复制到system32下,执行命令
C:\>evtsys -i -h 192.168.10.100
-i 表示安装成系统服务
-h 指定log服务器的IP地址
如果要卸载evtsys,则:
net stop evtsys
evtsys -u
启动该服务:
C:\>net start evtsys
在syslog服务器的syslog.conf中,添加daemon.* 日志存放路径
系统日志是由一个名为syslog的服务管理的,如以下日志文件都是由syslog日志服务驱动的:
/var/log/lastlog :记录最后一次用户成功登陆的时间、登陆IP等信息
/var/log/messages :记录Linux操作系统常见的系统和服务错误信息
/var/log/secure :Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况
/var/log/btmp :记录Linux登陆失败的用户、时间以及远程IP地址
/var/log/cron :记录crond计划任务服务执行情况
例如,messages下载到本地查看的话,可以使用UltraEdit来阅读。如果你的日志中有中文,可能会出现乱码,只需要在UE中进行编码转换即可:打开messages,ultraEdit->文件->转换->UNICODE/UTF-8 to UTF-8(Unicode editing)
扩展阅读
相关阅读