syslog-ng配置说明

syslog-ng是一款强大的日志管理工具，用于收集、解析、过滤和转发系统日志。它的配置文件位于`/etc/syslog-ng/syslog-ng.conf`，该文件定义了syslog-ng如何处理日志消息。本文将详细解释syslog-ng配置的主要组件：消息源(SOURCES)、过滤器(FILTERS)和目的地(DESTINATIONS)。 1. **消息源(SOURCES)** 消息源定义了syslog-ng从何处获取日志信息。常见的消息源类型包括： - `file`: 从指定文件读取日志，如`/proc/kmsg`。 - `unix-dgram`和`unix-stream`: 通过UNIX域套接字接收日志，前者使用UDP协议，后者使用TCP协议。 - `udp`和`tcp`: 通过网络监听UDP或TCP端口接收日志。 - `sun-streams`: 在Solaris系统中，从STREAM设备读取日志。 - `internal()`: 收集syslog-ng自身的日志信息。 - `pipe`和`fifo`: 从命名管道或FIFO设备读取日志。 示例配置： ```conf source s_sys { file("/proc/kmsg" log_prefix("kernel: ")); unix-stream("/dev/log"); internal(); # udp(ip(0.0.0.0) port(514)); }; ``` 这个例子中，syslog-ng会从内核消息文件、UNIX套接字和自身日志中收集日志，还可以通过UDP端口514接收日志（如果启用）。 2. **过滤器(FILTERS)** 过滤器用于根据特定条件筛选日志消息。过滤器定义如下： ```conf filter <filtername> { expression; }; ``` 其中，`expression`可以包含逻辑运算符（如`and`、`or`、`not`）以及各种函数，如： - `facility()`: 根据日志设施筛选，如`facility(mail,authpriv,cron)`。 - `level()`: 根据日志级别筛选，如`level(info..emerg)`。 - `program(regexp)`: 筛选程序名匹配正则表达式的消息。 - `host(regexp)`: 筛选主机名匹配正则表达式的消息。 - `match(regexp)`: 筛选日志内容匹配正则表达式的消息。 示例配置： ```conf filter f_filter2 { level(info..emerg) and not facility(mail,authpriv,cron); }; ``` 这个过滤器将选取级别为info到emerg的日志，但排除mail、authpriv和cron设施的日志。 3. **目的地(DESTINATIONS)** 目的地定义了syslog-ng应将过滤后的日志发送到哪里。常见的目的地类型包括： - `file()`: 将日志写入指定文件。 - `unix-dgram`和`unix-stream`: 将日志写入UNIX域套接字。 - `udp`和`tcp`: 通过网络发送日志到指定的UDP或TCP端口。 - `user()`: 将日志发送给指定的UNIX用户。 示例配置： ```conf destination d_file { file("/var/log/all.log" flags(no-create)); }; ``` 这个例子将所有过滤后日志写入`/var/log/all.log`，但不会自动创建文件。 在实际配置中，可以结合消息源、过滤器和目的地来构建复杂的消息路径。例如，你可以定义多个消息源，通过一系列过滤器筛选出特定的日志，然后将这些日志发送到不同的目的地，实现日志的精细化管理和分析。 syslog-ng的配置灵活性很高，允许系统管理员根据需求定制日志收集、处理和存储策略。通过熟练掌握消息源、过滤器和目的地的配置，可以有效地管理和维护日志系统，确保关键信息的记录和分析，同时降低日志数据的噪音。