RHEL&Centos下syslog的配置 - 小众知识

RHEL&Centos下syslog的配置

2013年01月27日 14:18:05 苏内容
  标签: RHEL/Centos
阅读:7328
syslog的严重级别:emerg,alert,crit,err,warning,notice,info,debug,依次递减 
linux下使用syslog的设备: 
* 除mark外的所有设备 
authpriv 安全,授权有关,secure,ssh,authpriv.* /var/log/secure 
cron cron daemon 
daemon 系统守护进程 
ftp ftpd 
kern 内核 
local0-7 本地消息8种类型 
lpr 打印机 
mail sendmail,postfix,qmail等日志 
mark 定期产生的时间戳 
news usenet 
syslog syslogd内部消息 
user 用户进程 
uucp uucp 保留 
具体配置可参考/etc/syslog.conf,/etc/logrotate.conf,/etc/logrotate.d/* 
以上是单机syslog的实现,以下是专用syslog服务器的配置 
1,client /etc/syslog.conf 中 日志的路径为@hostname @ip 如:authpriv.* @192.168.0.110 
2,server 默认不接受来自外部的日志消息,需要加上-r参数,-h取消,如 service syslog stop;syslogd -r 
调试 
如:logger -p mail.info "this is a test message" ,看是否些到了/var/log/maillog里,附logger p参数的man手册的说明 
   Enter the message with the specified priority.  The priority may be specified numerically or as a ‘‘facility.level’’ pair.  For example, ‘‘-p local3.info’’ logs the message(s) as informational level in the local3 facility.  The default is ‘‘user.notice.’’ 
分析log 
可用swatch,logcheck,logwatch查看,当然,我更愿意自己写shell来定制。 
在一个中,大型的服务器,网络架构中,syslog可以和其他的监控服务,如nagios,cacti,配合的很好。 
监控WINDOWS2003日志 
用到一个小软件evtsys,把evtsys.dll和evtsys.exe复制到system32下,执行命令 
C:\>evtsys -i -h 192.168.10.100
-i 表示安装成系统服务
-h 指定log服务器的IP地址
如果要卸载evtsys,则:
net stop evtsys
evtsys -u
启动该服务:
C:\>net start evtsys
在syslog服务器的syslog.conf中,添加daemon.* 日志存放路径


系统日志是由一个名为syslog的服务管理的,如以下日志文件都是由syslog日志服务驱动的:
/var/log/lastlog :记录最后一次用户成功登陆的时间、登陆IP等信息
/var/log/messages :记录Linux操作系统常见的系统和服务错误信息
/var/log/secure :Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况
/var/log/btmp :记录Linux登陆失败的用户、时间以及远程IP地址
/var/log/cron :记录crond计划任务服务执行情况
 
例如,messages下载到本地查看的话,可以使用UltraEdit来阅读。如果你的日志中有中文,可能会出现乱码,只需要在UE中进行编码转换即可:打开messages,ultraEdit->文件->转换->UNICODE/UTF-8 to UTF-8(Unicode editing)
扩展阅读