Linux rsyslogd服务学习

本篇笔记来自该博客：

http://c.biancheng.net/view/1097.html

服务简介

在CentOS 6.x 中日志服务已经由 rsyslogd 取代了原先的 syslogd。rsyslogd 相比 syslogd 具有一些新的特点：

• 基于TCP网络协议传输日志信息。
• 更安全的网络传输方式。
• 有日志信息的即时分析框架。
• 后台数据库。
• 在配置文件中可以写简单的逻辑判断。
• 与syslog配置文件相兼容。
  
  查看Linux中rsyslog服务是否启动，以及服务自启动状态：

ps aux | grep "rsyslog" | grep -v "grep"
# 有rsyslogd服务的进程，则服务已经启动
chkconfig --list | grep rsyslog
# rsyslog服务在2、3、4、5运行级别上是开机自启动的

系统中的绝大多数日志文件是由 rsyslogd 服务来统一管理的，只要各个进程将信息给予这个服务，它就会自动地把日志按照特定的格式记录到不同的日志文件中。也就是说，采用 rsyslogd 服务管理的日志文件，它们的格式应该是统一的。

在 Linux 系统中有一部分日志不是由 rsyslogd 服务来管理的，比如 apache 服务，它的日志是由 Apache 软件自己产生并记录的，并没有调用 rsyslogd 服务。但是为了便于读取，apache 日志文件的格式和系统默认日志的格式是一致的。

日志文件

/var/log/ 目录就是系统日志文件的保存位置



除系统默认的日志之外，采用 RPM 包方式安装的系统服务也会默认把日志记录在 /var/log/ 目录中（源码包安装的服务日志存放在源码包指定的目录中）。不过这些日志不是由 rsyslogd 服务来记录和管理的，而是各个服务使用自己的日志管理文档来记录自身的日志。以下介绍的日志目录在你的 Linux 上不一定存在，只有安装了相应的服务，日志才会出现。

日志格式

日志文件的格式包含以下 4 列：

• 事件产生的时间。
• 产生事件的服务器的主机名。
• 产生事件的服务名或程序名。
• 事件的具体信息。

rsyslog配置文件/etc/rsyslog.conf

rsyslogd 服务是依赖其配置文件 /etc/rsyslog.conf 来确定哪个服务的什么等级的日志信息会被记录在哪个位置的。也就是说，日志服务的配置文件中主要定义了服务的名称、日志等级和日志记录位置。

/etc/rsyslog.conf文件格式

authpriv.* /var/log/secure
#服务名称[连接符号]日志等级 日志记录位置
#认证相关服务.所有日志等级 记录在/var/log/secure日志中

rsyslog可以识别的服务日志

这些日志服务名称是rsyslogd服务自己定义的，并不是实际的Linux的服务。当有服务需要由rsyslogd服务来帮助管理日志时，只需要调用这些服务名称就可以实现日志的委托管理。

连接符号

日志服务连接日志等级的格式如下：

日志服务[连接符号]日志等级 日志记录位置