Linux syslog日志服务器架设攻略

从目前的情况来看，Syslog（系统日志）这一历史悠久的日志系统仍旧占据着最主流的地位。由于与类 UNIX平台之间的渊源，Syslog是在实际应用环境中最容易获得的日志系统。 同时，还有很多的基于Syslog的扩展产品存在，这其中也包括大量基于UNIX平台构建内核的网络硬件设备，这些设备往往都内置了Syslog功能支持，例如Cisco路由器就是如此。

一、 配置syslog守护进程

    syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。syslog守护进程是可配置的，它允许人们为每一种类型的系统信息精确地指定一个存放地点。现在，我们先看看syslog.conf文件的配置行格式（这个文件里的每一个配置行都是同样的格式），然后再看一个完整的syslog配置文件。syslog配置行的格式如下所示：

    mail.*/var/log/mail

    这一行由两个部分组成。第一个部分是一个或多个“选择条件”；上例中的选择条件是“mail”。选择条件后面跟一些空格字符，然后是一个“操作动作”；上例中的操作动作是：/var/log/mail

    1选择条件

    选择条件本身分为两个字段，之间用一个小数点（.）分隔。前一字段是一项服务，后一字段是一个优先级。选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。上面给出的例子里只有一个选择条件“mail”。大家可以在我们后面给出的那个完整的syslog配置文件示例里看到同时有多个选择条件的配置行。表1列出了绝大多数Linux操作系统变体都可以识别的选择条件。 

    2 优先级

    优先级是选择条件的第二个字段，它代表消息的紧急程度。对一个应用程序来说，它发出的哪些消息属于哪一种优先级是由当初编写它的程序员决定的，应用程序的使用者只能接受这样的安排——除非打算重新编译系统应用程序。表2按严重程度由低到高的顺序列出了所有可能的优先级。

    不同的服务类型有不同的优先级，数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符，对应于这个优先级的消息以及所有更紧急的消息类型都将包括在内。比如说，如果某个选择条件里的优先级是“warning”，它实际上将把“warning”、“err”、“crit”、“alert”和“emerg”都包括在内。

    3优先级限定符

    syslog允许人们使用三种限定符对优先级进行修饰：星号（*）、等号（=）和叹号（!）。熟悉规则表达式的读者应该对这三种限定符不会感到陌生。星号（*）的含义是“把本项服务生成的所有日志消息都发送到操作动作指定的地点”。就像它在规则表达式里的作用一样，星号代表“任何东西”。在前面给出的例子里，“mail.*”将把所有优先级的消息都发送到操作动作指定的/var/log/mail文件里。使用“*”限定符与使用“debug”优先级的效果完全一样，后者也将把所有类型的消息发送到指定地点。

    等号（=）的含义是“只把本项服务生成的本优先级的日志消息都发送到操作动作指定的地点”。比如说，可以用“=”限定符只发送调试消息而不发送其他更紧急的消息（这将为应用程序减轻很多负担）。当你只需要发送特定优先级别的消息时，就要使用等号限定符。

    就像它在编程时的用法一样，等号意味着等于且仅等于。叹号（!）的含义是“把本项服务生成的所有日志消息都发送到操作动作指定的地点，但本优先级的消息不包括在内”。比如说，这条syslog配置行将把除info优先级以外的所有消息发送到/var/log/mail文件里：
    mail.*;mail.!info/var/log/mail

    在这个例子里，“mail.*”将发送所有的消息，但“mail.!info”却把info优先级的消息排除在外。就像它在编程时的用法一样，叹号意味着“非”。

    4 操作动作

    日志信息可以分别记录到多个文件里，还可以发送到命名管道、其他程序甚至另一台机器。syslog配置文件并不复杂，既容易阅读又容易操作使用。这个文件里的注释都非常有用，应该好好读读它们。