syslog日志服务器配置步骤文件.pdf

syslog日志服务器配置步骤文件 syslog日志服务器配置步骤文件是Linux系统中的日志子系统，负责记录系统每天发生的各种事件。用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是审核和监测。 syslog日志服务器配置步骤文件主要分为两种类型：进程所属日志和syslog消息。进程所属日志是由用户进程或其他系统服务进程自行生成的日志，而syslog消息是系统syslog记录的日志，任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。 syslog日志服务器配置文件是/etc/syslog.conf文件，该文件允许人们为每一种类型的系统信息精确地指定一个存放地点。syslog配置行的格式如下所示： mail.*/var/log/mail 这行由两个部分组成。第一个部分是一个或多个“设备”，上例中的设备是“mail”。设备后面跟一些空格字符，然后是一个“操作动作”；上例中的操作动作是：/var/log/mail。 设备本身分为两个字段，之间用一个小数点（.）分隔。前一字段是一项服务，后一字段是一个优先级。设备其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的设备，但必须用分号（;）把它们分隔开。 syslog配置文件中有多种设备，包括： * auth －由pam_pwdb报告的认证活动 * authpriv －包括特权信息如用户名在内的认证活动 * cron －与cron和at有关的计划任务信息 * daemon －与inetd守护进程有关的后台进程信息 * kern －内核信息，首先通过klogd传递 * lpr －与打印服务有关的信息 * mail －与电子邮件有关的信息 * mark － syslog内部功能用于生成时间戳 * news －来自新闻服务器的信息 * syslog －由syslog生成的信息 * user －由用户程序生成的信息 * uucp －由uucp生成的信息 * local0-local7 －与自定义程序使用 优先级是选择条件的第二个字段，它代表消息的紧急程度。对一个应用程序来说，它发出的哪些消息属于哪一种优先级是由当初编写它的程序员决定的，应用程序的使用者只能接受这样的安排——除非打算重新编译系统应用程序。 表 2 按严重程度由低到高的顺序列出了所有可能的优先级： * emerg －该系统不可用，等同panic * alert －需要立即被修改 * crit －严重情况 * err －错误 * warning －警告 * notice －注意 * info －信息 * debug －调试信息 不同的服务类型有不同的优先级，数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符，对应于这个优先级的消息以及所有更紧急的消息类型都将包括在内。 在配置syslog服务器时，需要根据实际情况选择合适的设备和优先级，以便更好地记录和管理系统日志。