Linux rsyslog 系统日志服务-日志格式说明

rsyslog 系统日志服务

  rsyslog是CentOS 6 以后版本的系统管理服务。它提供了高性能，出色的安全性和模块化设计。

rsyslog的相关概念：

  facility：设施，表示对日志进行分类

  Priority：优先级别，定义日志的优先级别

rsyslog 配置文件

配置文件的组成：

 MODULES：相关模块配置

 GLOBAL DIRECTIVES：全局配置

 RULES：日志记录相关的规则配置

#### MODULES #### 约定了加载那些模块

#### GLOBAL DIRECTIVES #### 例如日志的存储目录、模块的加载路径等

#### RULES ####  日志的规则配置（不同类别的日志存放位置）

RULES 配置格式：
  日志类别的优先级使用点(.)分隔

facility.priority; facility.priority… target

日志类别.日志的优先级别;......；目标文件

例如:

#authpriv类别，任何级别的日志都存放到/var/log/secure中

 authpriv.*                                              /var/log/secure

facility 格式：

*     表示所有的类别

facility1,facility2,facility3,...         #指定的facility列表

priority 格式：

*: 所有级别

none：没有级别，即不记录

PRIORITY：指定级别（含）以上的所有级别

=PRIORITY：仅记录指定级别的日志信息

target 格式：

文件路径：通常在/var/log/，文件路径前的-表示异步写入

用户：将日志事件通知给指定的用户，* 表示登录的所有用户

日志服务器：@host，把日志送往至指定的远程UDP日志服务器 @@host 将日志发送到远程TCP日志服务器

管道： | COMMAND，转发给其它命令处理

异步和同步：
  异步：先放入缓冲区中，累计一段时间后统一写入到磁盘中，减少了磁盘io，但安全性没有同步的高
  同步：只要事件发生了就立即写入到磁盘中。

例如：

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

---------------------------------------------------------------------------------------
*.info：表示任何类别的日志，严重程度包括info以及info以上的

mail.none;authpriv.none;cron.none：这些类别的日志不写到文件中

*.info;mail.none;authpriv.none;cron.none：除了mail、authpriv、cron这些类别的日志，其他所有类别的日志的信息都写入到 /var/log/messages中

通常的日志文件的格式：
  日志文件有很多，如： /var/log/messages,cron,secure等，基本格式都是类似的。格式如下

事件产生的日期时间 主机 进程(pid)：事件内容

日志的类别：
  系统内置：syslog、mail、auth等
  自定义：local0-local7

范例：将ssh服务的日志记录至自定义的local的日志设备

#修改sshd服务的配置
Vim /etc/ssh/sshd_config
SyslogFacility local2 #调用rsyslog的local2这种日志类别
Service sshd reload

#修改rsyslog的配置
Vim /etc/rsyslog.conf
Local2.* /var/log/sshd.log  #loacl2表示自定义的日志类别，*表示所有级别的日志
Systemctl  restart rsyslog

#测试
Ssh登录后，查看/var/log/sshd.log有记录

使用syslog管理日志的前提：
  某些服务有自己的日志管理软件，一些比较小的服务没有独立的日志管理，而是直接使用rsyslog来管理日志服务。

   服务支持rsyslog，调用了rsyslog的接口才可以使用。