对linux下syslogd以及syslog.conf文件的解读说明

1: syslog.conf的介绍

对于不同类型的Unix，标准UnixLog系统的设置，实际上除了一些关键词的不同，系统的syslog.conf格式是相同的。syslog采用可配置的、统一的系统登记程序，随时从系统各处接受log请求，然后根据/etc/syslog.conf中的预先设定把log信息写入相应文件中、邮寄给特 定用户或者直接以消息的方式发往控制台。值得注意的是，为了防止入侵者修改、删除messages里的记录信息，可以采用用打印机记录或采用方式来挫败入 侵者的企图。

2: syslog.conf的格式

可以参考man [5] syslog.conf。这里是对syslog.conf的简单介绍。

/etc/syslog.conf文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成，两者间用tab制表符进 行分隔(使用空格间隔是无效的)。而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成，各保留字段间用分号分隔。如下行所示：

类型.级别 [；类型.级别] `TAB` 动作

2.1 类型

保留字段中的“类型”代表信息产生的源头，可以是：

auth 认证系统，即询问用户名和口令

cron 系统定时系统执行定时任务时发出的信息

daemon 某些系统的守护程序的syslog,如由in.ftpd产生的log

kern 内核的syslog信息

lpr 打印机的syslog信息

mail 邮件系统的syslog信息

mark 定时发送消息的时标程序

news 新闻系统的syslog信息

user 本地用户应用程序的syslog信息

uucp uucp子系统的syslog信息

local0..7 种本地类型的syslog信息,这些信息可以又用户来定义

* 代表以上各种设备

2.2 级别

保留字段中的“级别”代表信息的重要性，可以是：

emerg 紧急，处于Panic状态。通常应广播到所有用户；

alert 告警，当前状态必须立即进行纠正。例如，系统数据库崩溃；

crit 关键状态的警告。例如，硬件故障；

err 其它错误；

warning 警告；

notice 注意；非错误状态的报告，但应特别处理；

info 通报信息；

debug 调试程序时的信息；

none 通常调试程序时用，指示带有none级别的类型产生的信息无需送出。如*.debug;mail.none表示调试时除邮件信息外其它信息都送出。

2.3 动作

“动作”域指示信息发送的目的地。可以是：

/filename 日志文件。由绝对路径指出的文件名，此文件必须事先建立；

@host 远程主机； @符号后面可以是ip,也可以是域名，默认在/etc/hosts文件下loghost这个别名已经指定给了本机。

user1,user2 指定用户。如果指定用户已登录，那么他们将收到信息；

* 所有用户。所有已登录的用户都将收到信息。

3: 具体实例

我们来看看/etc/syslog.conf文件中的实例：

……

*.err;kern.debug;daemon.notice;mail.crit [TAB] /var/adm/messages

……

这行中的“action”就是我们常关心的那个/var/adm/messages文件，输出到它的信息源头“selector”是：

*.err - 所有的一般错误信息；

kern.debug - 核心产生的调试信息；

daemon.notice - 守护进程的注意信息；

mail.crit - 邮件系统的关键警告信息

4：syslog.conf内容

日志文件由系统日志和内核日志监控程序syslogd 与klogd 控制, 在/etc/syslog.conf 文件中配置这两个监控程序默认活动。

日志文件按/etc/syslog.conf 配置文件中的描述进行组织。以下是/etc/syslog.conf 文件的内容：

[root@localhost ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log

5.版本

Syslog机制是类unix系统中经常使用的一种日志记录方式。它能够以多种级别组合记录系统运行过程中各类日志信息。比如内核运行信息日志，程序运行 输出的日志等。在为嵌入式系统做开发时，将程序运行时的一些重要信息写入日志中，对于程序的调试以及错误诊断帮助是非常大的。重要信息包括程序运行时的重 要变量，函数运行结果，错误记录等等。对于嵌入式系统而言，由于系统资源有限，而且是交叉开发，调试及诊断及其不便。使用syslog机制，可大大简化这 些工作。

并不是所有嵌入式系统都可以使用syslog。首先，系统使用类unix操作系统，常用的就是linux。其次，为了支持远程日志记录，系统中必须支持网络通信。所幸，目前大部分嵌入式系统都是基于linux，并且支持网络。以下论述具体实现。

在编译busybox时，选择syslog应用程序，并将busybox加入到linux的文件系统中去。嵌入式系统启动后，就可以配置syslog的客 户端。根据busybox版本，syslog的服务进程syslogd的配置有所不同。早期的syslogd忽略syslog.conf文件内的配置项， 直接使用命令参数进行配置。新版本的syslogd支持使用syslog.conf文件进行配置。可以通过syslogd –h察看帮助信息，以确定当前的syslogd版本。

当不支持syslog.conf配置时，直接使用命令参数，输入以下命令启动syslogd:

syslogd -n -m 0 -L -R 192.190.1.88

其中-n选项表示进程在前台运行。

-m选项指定循环间隔时间。

-L选项表示在进行远程日志记录的同时，本地也进行记录。如果不加该选项，则只进行远程日志记录。

-R表示进行远程日志记录，将syslog日志发送到目标服务器上。这里假定目标服务器为的IP地址为192.190.1.88。如果不指定端口，默认使用UDP端口514。所以要确保服务器上该端口没用被占用。

启动后，所有的日志信息都会发往服务器的UDP端口514。

当支持syslog.conf配置时，只需修改该配置文件即可。在文件中增加以下语句：

*.* @192.190.1.88

以上配置表示将所有syslog的日志发往服务器192.190.1.88，使用默认的UDP端口。由于syslog.conf配置相对比较灵活，可以设置 屏蔽一些不需要的信息，以及设置指定的端口等等。请参考syslog.conf的有关命令，自行研究。然后启动syslogd即可进行远程记录。

这篇对linux下syslogd以及syslog.conf文件的解读说明就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持小牛知识库。