|
syslog的严重级别:emerg,alert,crit,err,warning,notice,info,debug,依次递减
linux下使用syslog的设备:
* 除mark外的所有设备
authpriv 安全,授权有关,secure,ssh,authpriv.* /var/log/secure
cron cron daemon
daemon 系统守护进程
ftp ftpd
kern 内核
local0-7 本地消息8种类型
lpr 打印机
mail sendmail,postfix,qmail等日志
mark 定期产生的时间戳
news usenet
syslog syslogd内部消息
user 用户进程
uucp uucp 保留
具体配置可参考/etc/syslog.conf,/etc/logrotate.conf,/etc/logrotate.d/*
以上是单机syslog的实现,以下是专用syslog服务器的配置
1,client /etc/syslog.conf 中 日志的路径为@hostname @ip 如:authpriv.* @192.168.0.110
2,server 默认不接受来自外部的日志消息,需要加上-r参数,-h取消,如 service syslog stop;syslogd -r
调试
如:logger -p mail.info "this is a test message" ,看是否些到了/var/log/maillog里,附logger p参数的man手册的说明
Enter the message with the specified priority. The priority may be specified numerically or as a ‘‘facility.level’’ pair. For example, ‘‘-p local3.info’’ logs the message(s) as informational level in the local3 facility. The default is ‘‘user.notice.’’
分析log
可用swatch,logcheck,logwatch查看,当然,我更愿意自己写shell来定制。
在一个中,大型的服务器,网络架构中,syslog可以和其他的监控服务,如nagios,cacti,配合的很好。
监控WINDOWS2003日志
用到一个小软件evtsys,把evtsys.dll和evtsys.exe复制到system32下,执行命令
C:\>evtsys -i -h 192.168.10.100
-i 表示安装成系统服务
-h 指定log服务器的IP地址
如果要卸载evtsys,则:
net stop evtsys
evtsys -u
启动该服务:
C:\>net start evtsys
在syslog服务器的syslog.conf中,添加daemon.* 日志存放路径 |
|