Linux日誌系統

Linux日誌介紹
日誌文件一般放在/var/log/目錄下，以下爲各文件的描述：
/var/log/boot.log :自檢日誌，系統啓動時的日誌
/var/log/cron :cron任務計劃日誌，每一次執行都記錄
/var/log/dmesg :內核緩衝信息，硬件相關的信息，可以使用dmesg命令查看
/var/log/lastlog :記錄所有用戶的最近信息，非文本文件，可以使用lastlog命令查看
/var/log/maillog :郵件服務器的日誌，收發記錄
/var/log/message :系統標準錯誤信息，非內核信息，各子系統產生的信息
/var/log/secure :記錄認證和授權信息，安全信息
/var/log/yum.log :使用yum安裝軟件包信息
/var/log/wtmp :記錄用戶正常的登錄信息
/var/log/btmp :記錄用戶失敗的登錄信息
/var/log/anaconda :記錄在安裝系統時的信息 centos or redhat
/var/log/anaconda,log :記錄在安裝系統時的信息 centos or redhat
/var/log/audit :包含audit daemon的審計日誌
/var/log/sa 目錄 :包含每日由sysstat軟件包收集的sar日誌
/var/log/cpus :設計所有打印信息的日誌
其他目錄或文件有一些軟件默認輸出到/var/log 目錄下定義日誌
日誌同名文件爲滾動文件避免一個文件過大查看是浪費內存，而且不易觀看
主配置文件 ：/etc/rsyslog.conf
格式爲：facility . priority action
Facility可以理解爲日誌的來源或設備，常用的有以下幾種：
auth :認證相關的
authpriv :權限，授權相關的
cron :任務計劃相關的
daemon :守護進程相關的
kern :內核相關的
lpr :打印相關的
mail :郵件相關的
news :新聞相關的
security :安全相關的
syslog :syslog自己的
user :用戶相關的
uucp :unix to unix copy 之間相關的
local10—local17 :用戶自定義使用
priority日誌的級別，有以下幾種：
debug :程序或系統調試信息
info :一般信息
notice :不影響正常功能使用，需要注意的信息
warn/warning :可能影響系統功能，需要提醒用戶的重要事件
err/error :錯誤信息，需修改
alert :必須馬上處理
crlt :嚴重級別
emerg/oanic :會導致系統不可用的
facility和priority之間的連接符含義：
.xxx :表示大於或等於xxx的信息被記錄
.=xxx :表示等於xxx的信息被記錄
.!xxx :表示除xxx之外的信息被記錄
.xxx,xxx :表示xxx和xxx兩者的信息都被記錄
Action爲收到的日誌放到什麼位置，動作，有以下幾種：
系統上的據對路徑 如:/var/log/FILENAME
| ：管道，交由其他命令做處理
終端 如:/dev/console
@host :遠程主機，發送到指定主機接受，如@192.168.1.2，信息發送到1.2主機上，一個@表示使用的是UDP協議發送，兩個@@表示使用TCP協議發送
用戶 如：root，收到的信息都發送給root用戶
自定義日誌可查看日誌主配置文件/etc/rsyslog.conf，裏面定義了詳細格式
如果要讓主機成爲日誌服務器接收其他主機的日誌，編輯/etc/sysconfig/rsyslog，在文件中SYSLOG_OPTION後寫入-r選項即可。