RHEL&CentOS下syslog的配置

思考的牛

syslog的严重级别：emerg,alert,crit,err,warning,notice,info,debug,依次递减

linux下使用syslog的设备：

＊ 除mark外的所有设备

authpriv 安全，授权有关，secure,ssh,authpriv.* /var/log/secure

cron cron daemon

daemon 系统守护进程

ftp ftpd

kern 内核

local0-7 本地消息8种类型

lpr 打印机

mail sendmail,postfix,qmail等日志

mark 定期产生的时间戳

news usenet

syslog syslogd内部消息

user 用户进程

uucp uucp 保留

具体配置可参考/etc/syslog.conf,/etc/logrotate.conf,/etc/logrotate.d/*

以上是单机syslog的实现，以下是专用syslog服务器的配置

1,client /etc/syslog.conf 中 日志的路径为@hostname @ip 如：authpriv.* @192.168.0.110

2,server 默认不接受来自外部的日志消息，需要加上-r参数，-h取消，如 service syslog stop;syslogd -r

调试

如：logger -p mail.info "this is a test message" ,看是否些到了/var/log/maillog里，附logger p参数的man手册的说明

   Enter the message with the specified priority.  The priority may be specified numerically or as a ‘‘facility.level’’ pair.  For example, ‘‘-p local3.info’’ logs the message(s) as informational level in the local3 facility.  The default is ‘‘user.notice.’’

分析log

可用swatch,logcheck,logwatch查看，当然，我更愿意自己写shell来定制。

在一个中，大型的服务器，网络架构中，syslog可以和其他的监控服务，如nagios,cacti，配合的很好。

监控WINDOWS2003日志

用到一个小软件evtsys，把evtsys.dll和evtsys.exe复制到system32下，执行命令

C:\>evtsys -i -h 192.168.10.100
-i 表示安装成系统服务
-h 指定log服务器的IP地址
如果要卸载evtsys,则：
net stop evtsys
evtsys -u

启动该服务:
C:\>net start evtsys
在syslog服务器的syslog.conf中，添加daemon.* 日志存放路径