Syslog日志系统简介
1. syslog服务:
syslog服务进程分两个,分别是:syslogd(系统,非内核产生的日志)和klogd(专门记录内核产生的日志)。
syslogd生成的日志在/var/log/messages里:
对于klogd,其生成的日志可以使用dmesg命令看文件内容。
2.日志滚动(日志切割):
所谓的滚动是指历史信息所保存的日志,如;messages文件日志会越来越大等到了某一段时间,会把messages文件重新命名为messages.1,系统并重新创建messages文件,所以叫做日志滚动
3.系统自带的日志切割程序logrotate
# see "man logrotate" for details
# rotate log files weekly
weekly #每周滚动一次
# keep 4 weeks worth of backlogs
rotate 4 #只保留4个切割版本文件,超过后清除
# create new (empty) log files after rotating old ones
create #滚动完之后创建一个空的新的文件
# use date as a suffix of the rotated file
dateext
# uncomment this if you want your log files compressed
#compress
include /etc/logrotate.d #包括/etc/logrotate.d 下的文件,手动添加可直接添加到此目录
4.syslog配置文件/etc/rsyslog.conf
格式为facility.priority action:
mail.info /var/log/mail.log #表示将mail相关的,级别为info及info以上级别的信息记录到/var/log/mail.log文件中
auth.=info @10.1.1.1 #表示将auth相关的,级别为info的信息记录到10.1.1.1主机上去,前提是10.1.1.1要能接收其主机发来的日志信息
5.搭建syslog服务器
vim /etc/sysconfig/rsyslog
修改配置文件中SYSLOGD_OPTIONS="-c 5" 添加“ -r选项”即可,目的可以让服务器能够接受客户端传来的数据
重启服务器端syslog服务:
service rsyslog restart
6. 搭建syslog客户端
在客户机的syslog配置文件中修改/etc/rsyslog.conf
vim /etc/rsyslog.conf:
mail.info @192.168.1.66 #服务器IP
重启客户端syslog服务:
service rsyslog restart