資源描述:
《Linux日志管理高級(jí)進(jìn)階》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�����。
1、Linux日志管理高級(jí)進(jìn)階:實(shí)例詳解syslogsyslogQ被許多日志函數(shù)采納��,它用在許多保護(hù)措施中�,任何程序都可以通過(guò)syslog記錄事件��。syslog可以記錄系統(tǒng)事件���,可以寫(xiě)到一個(gè)文件或設(shè)備中���,或給用戶(hù)發(fā)送一個(gè)信息�。它能記錄本地事件或通過(guò)網(wǎng)絡(luò)記錄另一個(gè)主機(jī)上的事件��。1、syslog簡(jiǎn)介syslog是一種工業(yè)標(biāo)準(zhǔn)的協(xié)議,可用來(lái)記錄設(shè)備的日志����。在UNIX系統(tǒng),路由器���、交換機(jī)等網(wǎng)絡(luò)設(shè)備屮��,系統(tǒng)H志(SystemLog)記錄系統(tǒng)屮任何時(shí)間發(fā)生的大小事件����。管理者可以通過(guò)查看系統(tǒng)記錄����,隨時(shí)掌握系統(tǒng)狀況。UNIX的系統(tǒng)日志是通過(guò)s
2��、yslogd這個(gè)進(jìn)程記錄系統(tǒng)有關(guān)事件記錄�,也可以記錄應(yīng)用程序運(yùn)作事件����。通過(guò)適當(dāng)?shù)呐渲?��,我們還可以實(shí)現(xiàn)運(yùn)行syslog協(xié)議的機(jī)器間通信�,通過(guò)分析這些網(wǎng)絡(luò)行為日志�����,藉以追蹤掌握與設(shè)備和網(wǎng)絡(luò)有關(guān)的狀況。2�、syslog配置文件syslog設(shè)備依據(jù)兩個(gè)重要的文件:/etc/syslogd守護(hù)進(jìn)程和/etc/syslog.conf配置文件。通常情況下���,多數(shù)syslog信息被寫(xiě)到/var/adm或/var/logFl錄下的信息文件中(messages.*)o一個(gè)典型的syslog記錄包括生成程序的名字和一個(gè)文本信息���。它還包括一個(gè)設(shè)備和
3、一個(gè)優(yōu)先級(jí)范圍�����。通過(guò)使用syslog.conf文件��,可以對(duì)生成的FI志的位置及其相關(guān)信息進(jìn)行靈活的配置����。該配置文件指明了syslogd守護(hù)程序記錄Fl志的行為��,該程序在啟動(dòng)時(shí)查詢(xún)配置文件���。該文件由不同程序或消息分類(lèi)的單個(gè)條目組成,每個(gè)占一行��。對(duì)每類(lèi)消息提供一個(gè)選擇域和一個(gè)動(dòng)作域����。這些域曲tab隔開(kāi):?選擇域指明消息的類(lèi)型和優(yōu)先級(jí);?動(dòng)作域指明syslogd接收到一個(gè)與選擇標(biāo)準(zhǔn)相匹配的消息時(shí)所執(zhí)行的動(dòng)作�。syslog.conf行的基本語(yǔ)法是:消息類(lèi)型?優(yōu)先級(jí)動(dòng)作域其中��,每個(gè)選擇域是由消息類(lèi)型和優(yōu)先級(jí)組成��。當(dāng)指明一個(gè)優(yōu)先級(jí)時(shí)����,
4、syslogd將記錄一個(gè)擁有相同或更高優(yōu)先級(jí)的消息����。Linux中一些主要的消息類(lèi)型如表2所示,表3列出了一些優(yōu)先級(jí)信息:表2syslog消息類(lèi)型消息類(lèi)型消息來(lái)源kern內(nèi)核User用戶(hù)程序Damon系統(tǒng)守護(hù)進(jìn)程Mail電子郵件系統(tǒng)Auth與安全權(quán)限相關(guān)的命令Lpr打卬機(jī)News新聞組信息UucpUucp程序Cron記錄當(dāng)前登錄的每個(gè)用戶(hù)信息wtmp一個(gè)用戶(hù)每次登錄進(jìn)入和退出時(shí)間的永久記錄Authpriv授權(quán)信息表3syslog簾用優(yōu)先級(jí)優(yōu)先級(jí)描述emerg最高的緊急程度狀態(tài)alert緊急狀態(tài)Cirt重要信息warning警
5、告err臨界狀態(tài)notice岀現(xiàn)不尋常的事情info一般性消息Debug調(diào)試級(jí)信息None不記錄任何EI志信息不同的服務(wù)類(lèi)型有不同的優(yōu)先級(jí)�����,數(shù)值較大的優(yōu)先級(jí)涵蓋數(shù)值較小的優(yōu)先級(jí)��。如果某個(gè)選擇條件只給出了一個(gè)優(yōu)先級(jí)而沒(méi)有使用任何優(yōu)先級(jí)限定符����,對(duì)應(yīng)于這個(gè)優(yōu)先級(jí)的消息以及所有更緊急的消息類(lèi)型都將包括在內(nèi)。比如說(shuō)��,如果某個(gè)選擇條件里的優(yōu)先級(jí)是“warning”���,它實(shí)際上將把“warning”�、“err”����、“crit”�、“alert”和“emerg”都包括在內(nèi)��。syslog允許人們使用三種限定符對(duì)優(yōu)先級(jí)進(jìn)行修飾:星號(hào)⑴�、等號(hào)(=)和
6����、嘆號(hào)⑴:?星號(hào)⑴的含義是把本項(xiàng)服務(wù)生成的所有日志消息都發(fā)送到操作動(dòng)作指定的地點(diǎn)���。就像它在規(guī)則表達(dá)式里的作用一樣�����,星號(hào)代表“任何東西"���。在前面給出的例子里,“mail.“將把所有優(yōu)先級(jí)的消息都發(fā)送到操作動(dòng)作指定的/var/log/mail文件里�。使用“加'限定符與使用“debug”優(yōu)先級(jí)的效果完全一樣,后者也將把所有類(lèi)型的消息發(fā)送到指定地點(diǎn)�����。?等號(hào)(=)的含義是只把本項(xiàng)服務(wù)生成的本優(yōu)先級(jí)的日志消息都發(fā)送到操作動(dòng)作指定的地點(diǎn)����。比如說(shuō)���,可以用鼻"限定符只發(fā)送調(diào)試消息而不發(fā)送其他更緊急的消息(這將為應(yīng)用程序減輕很多負(fù)擔(dān))����。當(dāng)你只需
7、要發(fā)送特定優(yōu)先級(jí)別的消息時(shí)���,就要使用等號(hào)限定符�。?嘆號(hào)⑴的含義是把本項(xiàng)服務(wù)生成的所有日志消息都發(fā)送到操作動(dòng)作指定的地點(diǎn)�����,但本優(yōu)先級(jí)的消息不包括在內(nèi)����。所以,根據(jù)上面介紹的相關(guān)知識(shí)�,我們給出如卜?例了作為示范:⑴如果指明VcritV,那所有標(biāo)為crit、alert和emerg的消息將被記錄�。每行的行動(dòng)域指明當(dāng)選擇域選擇了一個(gè)給定消息后應(yīng)該把他發(fā)送到哪兒。例如��,如果想把所有郵件消息記錄到一個(gè)文件中��,如卜?所示:#Logallthemailmessagesinoneplacemail?*/var/log/maillog(2)其他設(shè)
8����、備也有自己的H志。UUCP和news設(shè)備能產(chǎn)生許多外部消息�。它把這些消息存到自己的日志(/var/log/spooler)中并把級(jí)別限為“err”或更高���。例如:#Savenewserrorsoflevelcritandhigherinaspecialfile.uucpfnews?crit/var/l
