一台服务器的日志对系统工程师来说是至关重要的,一旦服务器出现故障或被***,我们需要查看日志来定位问题的关键所在,所以说对于线上跑的服务器而言日志应该合理的处理及管理.下面来介绍下linux系统的syslog日志服务器.

一.syslog详解
1,syslog简介
syslog 系统日志,记录linux系统启动及运行的过程中产生的信息,rhel5.x系统上默认自带了syslog 其配置文件是/etc/syslog.conf
syslog 默认有两个守护进程,klogd,syslogd,
klogd 进程是记录系统运行的过程中内核生成的日志,而在系统启动的过程中内核初始化过程中 生成的信息记录到控制台(/dev/console)当系统启动完成之后会把此信息存放到/var/log/dmesg文件中,我可以通过cat /var/log/dmesg查看这个文件,也可以通过dmesg命令来查看
syslogd 进程是记录非内核以外的信息
而为什么需要两个守护进程呢?是因为内核跟其他信息需要记录的详细程度及格式的不同
我们使用ps命令可以看到syslog的两个守护进程

 
  
  1. ps -ef | grep klogd | grep -v grep 
  2. root      3308     1  0 Nov26 ?        00:00:00 klogd -x 
  3.  
  4. ps -ef | grep syslogd | grep -v grep  
  5. root      3288     1  0 Nov26 ?        00:00:00 syslogd -m 0 

上面通过ps命令可以看到syslog的两个守护进程,而这两个守护进程是共用一个配置文件/etc/syslog.conf,下面介绍下其配置文件

2.syslog配置文件详解

 
  
  1. 配置文件定义格式为 facility.priority   action 
  2.  facility,可以理解为日志的来源或设备目前常用的facility有以下及中 
  3.     1,auth      # 认证相关的 
  4.     2,authpriv  # 权限,授权相关的 
  5.     3,cron      # 任务计划相关的 
  6.     4,daemon    # 守护进程相关的 
  7.     5,kern      # 内核相关的 
  8.     6,lpr       # 打印相关的 
  9.     7,mail      # 邮件相关的 
  10.     8,mark      # 标记相关的 
  11.     9,news      # 新闻相关的 
  12.     10,security # 安全相关的,与auth 类似  
  13.     11,syslog   # syslog自己的 
  14.     12,user     # 用户相关的 
  15.     13,uucp     # unix to unix cp 相关的 
  16.     14,local0 到 local7 # 用户自定义使用 
  17.     15,*        # *表示所有的facility 
  18.     等..... 
  19.  
  20.  priority(log level)日志的级别,一般有以下几种级别(从低到高) 
  21.     debug           # 程序或系统的调试信息 
  22.     info            # 一般信息, 
  23.     notice          # 不影响正常功能,需要注意的消息 
  24.     warning/warn    # 可能影响系统功能,需要提醒用户的重要事件 
  25.     err/error       # 错误信息 
  26.     crit            # 比较严重的 
  27.     alert           # 必须马上处理的 
  28.     emerg/oanic     # 会导致系统不可用的 
  29.     *               # 表示所有的日志级别 
  30.     none            # 跟* 相反,表示啥也没有 
  31.      
  32.  action(动作)日志记录的位置 
  33.     系统上的绝对路径    # 普通文件 如: /var/log/xxx 
  34.     |                   # 管道  通过管道送给其他的命令处理 
  35.     终端              # 终端   如:/dev/console 
  36.     @HOST               # 远程主机 如: @10.0.0.1      
  37.     用户              # 系统用户 如: root 
  38.     *                   # 登录到系统上的所有用户,一般emerg级别的日志是这样定义的 
 
  
  1. 定义格式例子: 
  2. mail.info   /var/log/mail.log # 表示将mail相关的,级别为info及 
  3.                               # info以上级别的信息记录到/var/log/mail.log文件中 
  4. auth.=info  @10.0.0.1         # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去 
  5.                               # 前提是10.0.0.1要能接收其他主机发来的日志信息 
  6. user.!=error                  # 表示记录user相关的,不包括error级别的信息 
  7. user.!error                   # 与user.error相反 
  8. *.info                        # 表示记录所有的日志信息的info级别 
  9. mail.*                        # 表示记录mail相关的所有级别的信息 
  10. *.*                           # 你懂的. 
  11. cron.info;mail.info           # 多个日志来源可以用";" 隔开 
  12. cron,mail.info                # 与cron.info;mail.info 是一个意思 
  13. mail.*;mail.!=info            # 表示记录mail相关的所有级别的信息,但是不包括info级别的 
 
  
  1. 接下来去翻译下rhel5.x系统上自带的syslog的配置文件/etc/syslog.conf 
  2. # 表示将所有facility的info级别,但不包括mail,authpriv,cron相关的信息,记录到 /var/log/messages文件 
  3. *.info;mail.none;authpriv.none;cron.none                /var/log/messages 
  4.  
  5. # 表示将权限,授权相关的所有基本的信息,记录到/var/log/secure文件中.这个文件的权限是600 
  6. authpriv.*                                              /var/log/secure 
  7.  
  8. # 表示将mail相关的所有基本的信息记录到/var/log/maillog文件中,可以看到路径前面有一个"-" 
  9. # "-" 表示异步写入磁盘, 
  10. mail.*                                                  -/var/log/maillog 
  11.  
  12. # 表示将任务计划相关的所有级别的信息记录到/var/log/cron文件中 
  13. cron.*                                                  /var/log/cron 
  14.  
  15. # 表示将所有facility的emerg级别的信息,发送给登录到系统上的所有用户 
  16. *.emerg                                                 * 
  17.  
  18. # 表示将uucp及news的crit级别的信息记录到/var/log/spooler文件中 
  19. uucp,news.crit                                          /var/log/spooler 
  20.  
  21. # 表示将local7的所有级别的信息记录到/var/log/boot.log文件中, 
  22. # 上面说过local0 到local7这8个是用户自定义使用的,这里的local7记录的是系统启动相关的信息 
  23. local7.*                                                /var/log/boot.log 

syslog默认记录的日志格式有四个字段,时间标签 主机 子系统名称 消息
可以使用tail  /var/log/messages 看下

syslog的介绍到这里基本上已经完成了,下面来瞧瞧syslog的升级版,syslog-ng俗称syslog下一代日志服务器,到底有啥好的呢.....

二.syslog-ng详解

1.syslog-ng简介
syslog-ng (syslog-Next generation) 是syslog的升级版,syslog-ng有两个版本,一个是收费的,一个是开源的,那么作为syslog的下一代产品,功能是可想而知,肯定比syslog的功能强大的多,如
高性能
可靠的传输
支持多平台
高可靠性
众多的用户群体
强大的日志过滤及排序
事件标签和关联性
支持最新的IETF标准
等....
开源版本的主页 http://www.balabit.com/network-security/syslog-ng/opensource-logging-system/overview

2.syslog-ng的安装
rhel5.x的系统上默认没有使用syslog-ng来记录日志的,需要使用的话,需要自己编译安装,安装方法如下

 
  
  1. yum install gcc*  
  2. cd /usr/src 
  3. wget http://www.balabit.com/downloads/files/syslog-ng/sources/3.2.4/source/eventlog_0.2.12.tar.gz 
  4. wget http://www.balabit.com/downloads/files/syslog-ng/open-source-edition/3.3.5/source/syslog-ng_3.3.5.tar.gz 
  5. tar xvf eventlog_0.2.12.tar.gz 
  6. cd eventlog-0.2.12 
  7. ./configure --prefix=/usr/local/eventlog 
  8. make 
  9. make install 
  10.  
  11. cd /usr/src 
  12. tar xvf syslog-ng_3.3.5.tar.gz 
  13. cd syslog-ng-3.3.5 
  14. export PKG_CONFIG_PATH=/usr/local/eventlog/lib/pkgconfig 
  15. ./configure --prefix=/usr/local/syslog-ng 
  16. make 
  17. make install 
  18.  
  19.  
  20. 将syslog-ng添加为系统服务, 
  21. vim /etc/init.d/syslog-ng  #内容如下 
  22. #!/bin/bash 
  23. #  
  24. # chkconfig: -  60 27 
  25. # description: syslog-ng SysV script.  
  26. . /etc/rc.d/init.d/functions 
  27.  
  28. syslog_ng=/usr/local/syslog-ng/sbin/syslog-ng 
  29. prog=syslog-ng 
  30. pidfile=/usr/local/syslog-ng/var/syslog-ng.pid 
  31. lockfile=/usr/local/syslog-ng/var/syslog-ng.lock 
  32. RETVAL=0 
  33. STOP_TIMEOUT=${STOP_TIMEOUT-10} 
  34.  
  35. start() { 
  36.         echo -n $"Starting $prog: " 
  37.         daemon --pidfile=$pidfile $syslog_ng $OPTIONS 
  38.         RETVAL=$? 
  39.         echo 
  40.         [ $RETVAL = 0 ] && touch ${lockfile} 
  41.         return $RETVAL 
  42.  
  43. stop() { 
  44.     echo -n $"Stopping $prog: " 
  45.     killproc -p $pidfile -d $STOP_TIMEOUT $syslog_ng 
  46.     RETVAL=$? 
  47.     echo 
  48.     [ $RETVAL = 0 ] && rm -f $lockfile $pidfile 
  49.  
  50. case "$1" in 
  51.   start) 
  52.     start 
  53.     ;; 
  54.   stop) 
  55.     stop 
  56.     ;; 
  57.   status) 
  58.         status -p $pidfile $syslog_ng 
  59.     RETVAL=$? 
  60.     ;; 
  61.   restart) 
  62.     stop 
  63.     start 
  64.     ;; 
  65.   *) 
  66.     echo $"Usage: $prog {start|stop|restart|status}" 
  67.     RETVAL=2 
  68. esac 
  69. exit $RETVAL 
  70. ------------------------------------------------------------ 
  71. chmod a+x /etc/init.d/syslog-ng 
  72. killall syslogd 
  73. chkconfig --add syslog-ng 
  74. chkconfig syslog-ng on 
  75. service syslog-ng start 

3.syslog-ng配置文件详解
此时syslog-ng服务已经启动起来了,配置文件的位置在安装目录下的etc/syslog-ng.conf

 
  
  1. syslog-ng.conf文件里的内容有以下几个部分组成, 
  2. # 全局选项,多个选项时用分好";"隔开 
  3. options { .... }; 
  4. # 定义日志源, 
  5. source s_name { ... }; 
  6. # 定义过滤规则,规则可以使用正则表达式来定义,这里是可选的,不定义也没关系 
  7. filter f_name { ... }; 
  8. # 定义目标 
  9. destination d_name { ... }; 
  10. # 定义消息链可以将多个源,多个过滤规则及多个目标定义为一条链 
  11. log { ... }; 
  12. 详解如下 
  13. ---------------------------------------------------------------- 
  14. options { long_hostnames(off); sync(0); perm(0640); stats(3600); }; 
  15.     更多选项如下 
  16.     chain_hostnames(yes|no)     # 是否打开主机名链功能,打开后可在多网络段转发日志时有效 
  17.     long_hostnames(yes|no)      # 是chain_hostnames的别名,已不建议使用 
  18.     keep_hostname(yes|no)       # 是否保留日志消息中保存的主机名称 
  19.     use_dns(yes|no)             # 是否打开DNS查询功能, 
  20.     use_fqdn(yes|no)            # 是否使用完整的域名 
  21.     check_hostname(yes|no)      # 是否检查主机名有没有包含不合法的字符 
  22.     bad_hostname(regexp)        # 可通过正规表达式指定某主机的信息不被接受 
  23.     dns_cache(yes|no)           # 是否打开DNS缓存功能 
  24.     dns_cache_expire(n)         # DNS缓存功能打开时,一个成功缓存的过期时间 
  25.     dns_cache_expire_failed(n)  # DNS缓存功能打开时,一个失败缓存的过期时间 
  26.     dns_cache_size(n)           # DNS缓存保留的主机名数量 
  27.     create_dirs(yes|no)         # 当指定的目标目录不存在时,是否创建该目录 
  28.     dir_owner(uid)              # 目录的UID 
  29.     dir_group(gid)              # 目录的GID 
  30.     dir_perm(perm)              # 目录的权限,使用八进制方式标注,例如0644 
  31.     owner(uid)                  # 文件的UID 
  32.     group(gid)                  # 文件的GID 
  33.     perm(perm)                  # 文件的权限,同样,使用八进制方式标注 
  34.     gc_busy_threshold(n)        # 当syslog-ng忙时,其进入垃圾信息收集状态的时间一旦分派的对象达到这个数字,syslog-ng就启动垃圾信息收集状态。默认值是:3000。 
  35.     gc_idle_threshold(n)        # 当syslog-ng空闲时,其进入垃圾信息收集状态的时间一旦被分派的对象到达这个数字,syslog-ng就会启动垃圾信息收集状态,默认值是:100 
  36.     log_fifo_size(n)            # 输出队列的行数 
  37.     log_msg_size(n)             # 消息日志的最大值(bytes) 
  38.     mark(n)                     # 多少时间(秒)写入两行MARK信息供参考,目前没有实现 
  39.     stats(n)                    # 多少时间(秒)写入两行STATUS信息,默认值是:600 
  40.     sync(n)                     # 缓存多少行的信息再写入文件中,0为不缓存,局部参数可以覆盖该值。 
  41.     time_reap(n)                # 在没有消息前,到达多少秒,即关闭该文件的连接 
  42.     time_reopen(n)              # 对于死连接,到达多少秒,会重新连接 
  43.     use_time_recvd(yes|no)      # 宏产生的时间是使用接受到的时间,还是日志中记录的时间;建议使用R_的宏代替接收时间,S_的宏代替日志记录的时间,而不要依靠该值定义。 
  44.  
  45. source s_name { internal(); unix-dgram("/dev/log"); udp(ip("0.0.0.0") port(514)); }; 
  46.  
  47.     file (filename)                 # 从指定的文件读取日志信息 
  48.     unix-dgram  (filename)          # 打开指定的SOCK_DGRAM模式的unix套接字,接收日志消息 
  49.     unix-stream (filename)          # 打开指定的SOCK_STREAM模式的unix套接字,接收日志消息 
  50.     udp ( (ip),(port) )             # 在指定的UDP端口接收日志消息 
  51.     tcp ( (ip),(port) )             # 在指定的TCP端口接收日志消息 
  52.     sun-streams (filename)          # 在solaris系统中,打开一个(多个)指定的STREAM设备,从其中读取日志消息 
  53.     internal()                      # syslog-ng内部产生的消息 
  54.     pipe(filename),fifo(filename)   # 从指定的管道或者FIFO设备,读取日志信息 
  55.  
  56. filter f_name   { not facility(news, mail) and not filter(f_iptables); }; 
  57.     更多规则函数如下 
  58.     facility(..)    # 根据facility(设备)选择日志消息,使用逗号分割多个facility 
  59.     level(..)       # 根据level(优先级)选择日志消息,使用逗号分割多个level,或使用“..”表示一个范围 
  60.     program(表达式)    # 日志消息的程序名是否匹配一个正则表达式 
  61.     host(表达式)   # 日志消息的主机名是否和一个正则表达式匹配 
  62.     match(表达式)  # 对日志消息的内容进行正则匹配 
  63.     filter()        # 调用另一条过滤规则并判断它的值 
  64.     定义规则的时候也可以使用逻辑运算符and or not 
  65.  
  66. destination d_name { file("/var/log/messages"); }; 
  67.     更多动作如下 
  68.     file (filename)                 # 把日志消息写入指定的文件 
  69.     unix-dgram  (filename)          # 把日志消息写入指定的SOCK_DGRAM模式的unix套接字 
  70.     unix-stream (filename)          # 把日志消息写入指定的SOCK_STREAM模式的unix套接字 
  71.     udp (ip),(port)                 # 把日志消息发送到指定的UDP端口 
  72.     tcp (ip),(port)                 # 把日志消息发送到指定的TCP端口 
  73.     usertty(username)               # 把日志消息发送到已经登陆的指定用户终端窗口 
  74.     pipe(filename),fifo(filename)   # 把日志消息发送到指定的管道或者FIFO设备 
  75.     program(parm)                   # 启动指定的程序,并把日志消息发送到该进程的标准输入 
  76.  
  77. log { source(s_name); filter(f_name); destination(d_name) }; 

一条日志的处理流程大概是这样的,如下
首先是  "日志的来源 source s_name { ... };"
然后是  "过滤规则 filter f_name { ... };"
再然后是 "消息链 log { source(s_name); filter(f_name); destination(d_name) };"
最后是  "目标动作 destination d_name { ... };"
这样以来一条日志就根据你的意思来处理了,需要注意的是一条日志消息过了之后,会匹配定义的所有配置,并不是匹配到以后就不再往下匹配了.

4.syslog-ng配置文件例子

 
  
  1. $syslog-ng_path/etc/syslog-ng.conf 内容如下 
  2.  
  3. options { long_hostnames(off); sync(0); perm(0640); stats(3600); }; 
  4.  
  5. source src {  
  6.             internal();  
  7.             unix-dgram("/dev/log");  
  8.             # 表示日志来源为本机udp的514端口, 
  9.             udp(ip("0.0.0.0") port(514));  
  10. }; 
  11.  
  12. filter f_iptables   { facility(kern) and match("IN=") and match("OUT="); }; 
  13.  
  14. filter f_console    { level(warn) and facility(kern) and not filter(f_iptables) 
  15.                       or level(err) and not facility(authpriv); }; 
  16.  
  17. filter f_newsnotice { level(notice) and facility(news); }; 
  18. filter f_newscrit   { level(crit)   and facility(news); }; 
  19. filter f_newserr    { level(err)    and facility(news); }; 
  20. filter f_news       { facility(news); }; 
  21.  
  22. filter f_mailinfo   { level(info)      and facility(mail); }; 
  23. filter f_mailwarn   { level(warn)      and facility(mail); }; 
  24. filter f_mailerr    { level(err, crit) and facility(mail); }; 
  25. filter f_mail       { facility(mail); }; 
  26.  
  27. filter f_cron       { facility(cron); }; 
  28.  
  29. filter f_local      { facility(local0, local1, local2, local3, 
  30.                                local4,  local6, local7); }; 
  31.  
  32. filter f_acpid_full { match('^acpid:'); }; 
  33. filter f_acpid      { level(emerg..notice) and match('^acpid:'); }; 
  34.  
  35. filter f_acpid_old  { match('^\[acpid\]:'); }; 
  36.  
  37. filter f_netmgm     { match('^NetworkManager:'); }; 
  38.  
  39. filter f_messages   { not facility(news, mail) and not filter(f_iptables); }; 
  40. filter f_warn       { level(warn, err, crit) and not filter(f_iptables); }; 
  41. filter f_alert      { level(alert); }; 
  42.  
  43. destination console  { pipe("/dev/tty10"    owner(-1) group(-1) perm(-1)); }; 
  44. log { source(src); filter(f_console); destination(console); }; 
  45.  
  46. destination xconsole { pipe("/dev/xconsole" owner(-1) group(-1) perm(-1)); }; 
  47. log { source(src); filter(f_console); destination(xconsole); }; 
  48.  
  49. destination newscrit   { file("/var/log/news/news.crit" 
  50.                               owner(news) group(news)); }; 
  51. log { source(src); filter(f_newscrit); destination(newscrit); }; 
  52.  
  53. destination newserr    { file("/var/log/news/news.err" 
  54.                               owner(news) group(news)); }; 
  55. log { source(src); filter(f_newserr); destination(newserr); }; 
  56.  
  57. destination newsnotice { file("/var/log/news/news.notice" 
  58.                               owner(news) group(news)); }; 
  59. log { source(src); filter(f_newsnotice); destination(newsnotice); }; 
  60.  
  61. destination mailinfo { file("/var/log/mail.info"); }; 
  62. log { source(src); filter(f_mailinfo); destination(mailinfo); }; 
  63.  
  64. destination mailwarn { file("/var/log/mail.warn"); }; 
  65. log { source(src); filter(f_mailwarn); destination(mailwarn); }; 
  66.  
  67. destination mailerr  { file("/var/log/mail.err" fsync(yes)); }; 
  68. log { source(src); filter(f_mailerr);  destination(mailerr); }; 
  69.  
  70. destination mail { file("/var/log/mail"); }; 
  71. log { source(src); filter(f_mail); destination(mail); }; 
  72.  
  73. destination acpid { file("/var/log/acpid"); }; 
  74. destination null { }; 
  75. log { source(src); filter(f_acpid); destination(acpid); flags(final); }; 
  76.  
  77. log { source(src); filter(f_acpid_full); destination(null); flags(final); }; 
  78.  
  79. log { source(src); filter(f_acpid_old); destination(acpid); flags(final); }; 
  80.  
  81. destination netmgm { file("/var/log/NetworkManager"); }; 
  82. log { source(src); filter(f_netmgm); destination(netmgm); flags(final); }; 
  83.  
  84. destination localmessages { file("/var/log/localmessages"); }; 
  85. log { source(src); filter(f_local); destination(localmessages); }; 
  86.  
  87. destination messages { file("/var/log/messages"); }; 
  88. log { source(src); filter(f_messages); destination(messages); }; 
  89.  
  90. destination firewall { file("/var/log/firewall"); }; 
  91. log { source(src); filter(f_iptables); destination(firewall); }; 
  92.  
  93. destination warn { file("/var/log/warn" fsync(yes)); }; 
  94. log { source(src); filter(f_warn); destination(warn); }; 
  95.  
  96. filter f_ha         { facility(local5); }; 
  97. destination hamessages { file(/var/log/ha); }; 
  98. log { source(src); filter(f_ha); destination(hamessages); };