/etc/syslog.conf文件解读

1: syslog.conf的介绍

对于不同类型的Unix,标准UnixLog系统的设置,实际上除了一些关键词的不同,系统的syslog.conf格式是相同的。syslog采用可配置的、统一的系统登记程序,随时从系统各处接受log请求,然后根据/etc/syslog.conf中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是,为了防止入侵者修改、删除messages里的记录信息,可以采用用打印机记录或采用方式来挫败入侵者的企图。

2: syslog.conf的格式

/etc/syslog.conf文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成,两者间用tab制表符进行分隔(使用空格间隔是无效的)。而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成,各保留字段间用分号分隔。如下行所示:
类型.级别 [;类型.级别] TAB 动作

2.1 类型
保留字段中的“类型”代表信息产生的源头,可以是:

auth    认证系统,即询问用户名和口令
cron    系统定时系统执行定时任务时发出的信息
daemon  某些系统的守护程序的syslog,如由in.ftpd产生的log
kern    内核的syslog信息
lpr     打印机的syslog信息
mail    邮件系统的syslog信息
mark    定时发送消息的时标程序
news    新闻系统的syslog信息
user    本地用户应用程序的syslog信息
uucp    uucp子系统的syslog信息
local0-7 种本地类型的syslog信息,这些信息可以又用户来定义
*       代表以上各种设备

2.2 级别
保留字段中的“级别”代表信息的重要性,可以是:

emerg   紧急,处于Panic状态。通常应广播到所有用户; 
alert   告警,当前状态必须立即进行纠正。例如,系统数据库崩溃; 
crit    关键状态的警告。例如,硬件故障; 
err     其它错误; 
warn    警告; 
notice  注意;非错误状态的报告,但应特别处理; 
info    通报信息; 
debug   调试程序时的信息; 
none    通常调试程序时用,指示带有none级别的类型产生的信息无需送出。如*.debug;mail.none表示调试时除邮件信息外其它信息都送出。

2.3 动作
“动作”域指示信息发送的目的地。可以是:

/filename   日志文件。由绝对路径指出的文件名,此文件必须事先建立; 
@host       远程主机; @符号后面可以是ip,也可以是域名,默认在/etc/hosts文件下loghost这个别名已经指定给了本机。
user1,user2 指定用户。如果指定用户已登录,那么他们将收到信息; 
*           所有用户。所有已登录的用户都将收到信息。

3: 示例
我编译的MiLinux中使用了如下配置

# First some standard log files.
*.*;auth,authpriv.none;mail.none        /var/log/syslog
*.alert;*.crit;*.err                    /var/log/syserr
auth,authpriv.*                         /var/log/auth.log
mail.*                                  /var/log/mail.log
# Emergencies are sent to everybody logged in.
*.emerg                                :omusrmsg:*

发表评论

电子邮件地址不会被公开。 必填项已用*标注