Linux系统服务Syslog服务
Syslog服务
Syslog 概述
syslog 常被称为系统日志或系统记录,系统日志通过 syslog 进程记录系统的有关事件,也可以记录应用程序运作事件。通过适当配置,甚至可以实现运行 syslog 协议的机器之间的通信。
早期的 syslog 日志服务对应的是 syslogd 守护进程,而目前很多 linux 发行版本已经使用 rsyslog 服务替换了 syslog 服务预装在 linux 系统中了,相应的守护进程就变成了rsyslogd(ubuntu 18中已经更新为 rsyslog)。
syslog 协议标准
syslog 协议是一种用来在互联网协议(TCP/IP)的网络中传递记录档讯息的标准,属于一种主从式协议:
如上图所示,syslog 消息主要分为 priority、head 以及 message 三个部分,priority 是由两个部分组成的——facility、level。
facility 表明该日志消息是由谁产生的,是内核 kern?还是用户 user?又或是邮件 mail?不同的 facility对应不同的代号,可通过 man 3 syslog 查看:
level 表明该日志消息的重要程度,是导致系统不能正常使用了的紧急级别 emerg?还是需要被及时处理的警告级别 alert?又或仅仅是需要调试的 debug 级别的信息?同样可通过 man 3 syslog 查看:
facility 和 level 分别定义了不同的代号,其各自的宏定义可见 /usr/include/sys/syslog.h 头文件,它们两者的组合构成了 priority 头的值。
syslog API
linux C 中提供了一套系统日志写入的接口—syslog 库,syslog 库可以将应用程序中的日志消息写入日志系统,主要涉及三个函数 openlog,syslog,closelog。如下所示:
syslog 日志文件
日志文件介绍
日志一般都在 /var/log 目录下。该目录下有以下几个重要的的日志文件。
/var/log/maillog:记录邮件的往来信息,其实主要是记录 sendmail 与 dovecot 所产生的信息。
/var/log/dmesg:记录开机开始到现在的内核检测过程所产生的各项信息。如果内核编程的模块中使用printk(),将会把相关信息打印到这里。
/var/log/messages:系统发生的重要信息或者是错误信息都会记录在这个文件中,如果系统发生错误,这个文件就是需要查阅的文件之一。
/var/log/httpd:这个文件里面主要记录各种网络服务信息。
/var/log/cron:这个日志跟例行工作调度有关。即crontab有没有被执行,执行过程中有没有发生错误,在这个日子中均有体现。
上述的这些日志都是系统进程打印出的 log 日志。我们怎么能打印出自己的 log 日志呢?首先,我们要分清楚需求是什么,是通过内核打印出来?还是非内核应用中打印出来?
1、内核打印日志
相信很多使用过内核模块的朋友已经很清楚,在 linux 内核模块中编程的话,使用简单的 printk("helloworld"); 就能达到打印日志的效果。在linux中使用 dmesg 命令即可查看内核输出的日志。
2、非内核编程打印日志
若想在非内核的环境下打印日志,就必须要使用 syslog(或者 rsyslog) 了。若你的系统还是使用的 syslog,那就直接运行以下测试代码:
Mar 16 23:48:44 是日志记录的时间;
192 是主机名;
syslog_test 是 openlog 函数的第一个参数指定的字符串;
[126266] 是openlog第二个参数指定了 LOG_PID 的结果;
The pid of syslog_test=126266 则是 syslog 函数指定的日志消息内容了。
该条日志输出到了/var/log/syslog 文件内,其实输出路径以及各种 facility 和 level 都是可以通过配置文件进行相应的设置的,我们后面再说。
【注意】大家如果想删除日志,千万不要把日志文件直接删除,如果这样很有可能系统找不到文件,就无法再打印日志,恢复起来也是比较麻烦。直接清空日志内容即可:cat /dev/null > syslog。
日志配置
如果需要修改系统日志配置,修改以下两个文件。
1)/etc/rsyslog.conf
2)/etc/rsyslog.d/50-default.conf:日志文件的记录规则和路径
rsyslogd 进程的操作:
产生本地日志
1、修改 /etc/rsyslog.d/50-default.conf 配置文件:
在文件最后添加如下一行:
【注意】
local0—local7 均可。
/var/log/mylocal.log 是自己定义的日志文件。
表示所有的日志,可以保存部分日志,例如 local0.info 只会保留 LOG_INFO 级别的日志。
2、配置完需要重启 rsyslogd 程序
3、程序中用以下记入日志
CentOS7搭建syslog日志服务器
1、安装rsyslog软件
yum install -y rsyslog
2、配置rsyslog.conf文件
vi /etc/rsyslog.conf
修改内容,注释打开,启用UDP、TCP协议,监听514端口
配置接收日志的存放目录和文件名规则
##配置begin
# 使用RemoteLogs模板接受客户端的日志,保存到本地的/var/log/remote目录下,然后是每台客户端的ip_年份_月份_日期的log
$template RemoteLogs,"/var/log/remote/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
# 所有服务所有级别的日志都记录
*.* ?RemoteLogs
#服务端本机的日志不记录
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
#指示rsyslog在将消息写入文件后停止处理消息。如果不包含"& ~",则消息将被写入本地文件,导致消息被记录2次。
& ~
##配置end
3、重启rsyslog服务,查看日志
systemctl restart rsyslog
日志目录: /var/log/remote/