# yum install -y syslog6 Y! J: p7 ]" m8 W8 K R
安装完成,修改配置配置文件:
( R& U3 R) @. Y# vim /etc/rsyslog.conf* ~9 h: R+ t9 D* L2 q6 U; e
- b+ T9 a" N% c) w# u) w; }7 c9 m
* M# _+ f# {' ysyslog配置文件/etc/rsyslog.conf 注:centos 6 的配置文件是/etc/rsyslog.conf,centos5的配置文件是/etc/syslog.conf 5.配置文件定义格式为facility.priority action facility是指哪个facility来源产生的日志; priority是指拿个级别的日志 ;action是指产生日志怎么办是保存在文件中还是其他。。。 facility可以理解为日志的来源或设备或选择条件,目前常用的facility有以下几种: auth #认证相关的 authpriv #权限,授权相关的 cron #任务计划相关的 daemon #守护进程相关的 kern #内核相关的 lpr #打印相关的 mail #邮件相关的 mark #标记相关的 news #新闻相关的 security #安全相关的,与auth类似 syslog #syslog自己的 user #用户相关的 uucp #unix to unix cp相关的 local0到local7 #用户自定义使用 * #*表示所有的facility priority(log level)日志优先级的级别,一般分为以下几种级别(从低到高) 注:级别越低记录的越详细 debug #程序或系统的调试信息 info #一般信息 notice #不影响正常的功能,需要提醒用户的重要事件 warning/warn #可能影响系统功能,需要提醒用户的重要事件 err/error #错误信息 crit #比较严重的 alert #必须马上处理的 emerg/canic #会导致系统不可用的 * #表示所有的日志级别 none #跟*相反,表示什么也没有1 M* X5 i" n6 ~
action(动作)日志记录的位置 系统上的绝对路径 #普通文件 如:/var/log/XXX | #管道 通过管道送给其他的命令出来 终端 #终端 如:/dev/console @host #远程主机 如@10.1.1.1 用户 #系统用户 如:root * #登录到系统上的所有用户,一般emerg级别的日志是这样定义的* P. l3 D$ q+ [2 B; x3 u
定义格式列子: mail.info /var/log/mail.log #表示将mail相关的,级别为info及info以上级别的信息记录到/var/log/mail.log文件中 auth.=info @10.1.1.1 #表示将auth相关的,级别为info的信息记录到10.1.1.1主机上去,前提是10.1.1.1要能接收其主机发来的日志信息 user.!=error #表示记录user相关的,不包括error级别的信息 user.!error #表示user.error相反 *.info #表示记录所有的日志信息的info级别 mail.* #表示记录所有mail相关的所有级别的信息 *.* #表示记录所有的日志信息的所有的日志级别 cron.info;mail.info #多个日志来源可以用“ ; ”隔开 cron,mail.info #与cron.info;mail.info 是一个意思 mail.*;mail.!=info #表示记录mail相关的所有级别的信息,但是不包括info级别的信息9 @: W3 Y# c8 d' g, E4 p
: r& s g7 q: L; U8 X重启服务 #service rsyslog reload 注:不重启但能读到配置文件;不建议重启 设置转存的服务器地址
j' E# T8 C% b8 t8 T7 g$ g* @9 P k0 O. k7 t3 X. C& R5 ^
*.* @@192.18.10.21:514# vim /etc/rsyslog.conf 9 m$ O! R+ O. H. K
5 c ]8 S( y0 O
# rsyslog v5 configuration file
, }, P+ g5 F! T7 Z4 a
\, G$ g: D6 u& a8 ^3 m" t# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
8 \5 w9 \3 u* P9 V; B O1 z# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html1 \$ @5 T- f( m2 C& a# w* H* A
. N+ Q B. B( Z1 X' X l#### MODULES ####0 ~* ^1 P, Z5 z: B1 t" f; F2 X% Z
( \ a+ R' u R f- Y
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)/ v- Z% N& I$ u/ w2 c
$ModLoad imklog # provides kernel logging support (previously done by rklogd)' {2 V6 q3 C$ Q0 T
#$ModLoad immark # provides --MARK-- message capability+ y! ?$ v( H e/ i1 B
+ Z: L6 S' @% \; |: @# Provides UDP syslog reception' w& O+ c- \9 w3 j8 r
#$ModLoad imudp ]2 I- N; U5 R. `; ~) ?4 R: _
#$UDPServerRun 5145 \; T. O/ E; v) S, N+ ]
8 ?% u p. _ ?- K# Provides TCP syslog reception
7 ]9 c9 `6 l! L# `/ U5 S#$ModLoad imtcp& d* ?% v' e7 |# d) i* t
#$InputTCPServerRun 514- P4 d3 v" N2 X2 w+ W3 z2 T; h6 d
: l$ N$ k; {6 E( R
* G8 b# S1 h+ m0 d' I
#### GLOBAL DIRECTIVES ####
7 y+ D9 c5 Q5 p; y$ @- Y! E/ Z, n) N
# Use default timestamp format
. M; y& ?6 A+ |' d Q! j7 q5 ~$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
* N: V6 D) b J& t& M' s7 x
, \; L+ d9 a6 @6 x9 p# File syncing capability is disabled by default. This feature is usually not required,
) {- O+ o& z% v; h+ z# not useful and an extreme performance hit* c% y8 V' a" r7 O/ D& u _! Z2 O
#$ActionFileEnableSync on0 C# W& e9 S3 X8 N1 h1 @
( ~+ e# i* [( a" s
# Include all config files in /etc/rsyslog.d/6 O) ~& B5 G* l2 L" t
$IncludeConfig /etc/rsyslog.d/*.conf
; h2 c$ h' K d) i. o1 R' y, s" y
4 o, K' k2 M, ]% N5 U5 V
5 r. L3 X9 v2 z4 k& J8 o#### RULES ####$ |& Y u: K% N* b. W/ M3 y
: x6 m9 d d( u$ [" X
# Log all kernel messages to the console.: q) |' ^+ l# b
# Logging much else clutters up the screen.
6 o/ k; a; C+ W8 C8 ]% W$ i3 @#kern.* /dev/console
/ U& }% R* m8 m& a) O! V; ~2 Z. b) I( G) S8 ^ }3 z
# Log anything (except mail) of level info or higher.
! g7 I5 L+ \& E# Don't log private authentication messages!
$ a; M4 ]5 B4 D0 }, T4 ]*.info;mail.none;authpriv.none;cron.none /var/log/messages5 x/ u; _# `' n
# ]- {7 B: Y+ N2 |# The authpriv file has restricted access.
% C+ ?% m' y' f8 T8 A' k+ l# `authpriv.* /var/log/secure7 X. w& r! D" A Z; x
; ]6 t0 t% H7 P$ }8 {* K4 J# Log all the mail messages in one place., X( }5 G d9 T# K
mail.* -/var/log/maillog
/ F0 m$ F: e. |$ H+ d, {4 z5 t4 h) c9 k2 V" m: V2 q
+ _. _5 @& E( x
# Log cron stuff
2 n$ d6 \1 T7 Q! `4 u$ ?& Ucron.* /var/log/cron- U$ M; ^ i4 `4 E; K0 M0 e. a* n
- X+ j- @" `0 Z: X6 a( W
# Everybody gets emergency messages
2 L- G7 \+ F/ {+ Y% H" ^*.emerg *$ ?& a6 O4 |- Z+ J: G/ T
% p5 F/ H7 R' ?6 y; L! X" u
# Save news errors of level crit and higher in a special file.
- x b1 X% n9 m J0 y9 V0 Ouucp,news.crit /var/log/spooler
6 C( |( W1 K8 R4 ]- `& e, I4 ?0 C
, b7 @# S d& n0 p6 A' N8 [# Save boot messages also to boot.log8 i% D& v i, I& f4 N
local7.* /var/log/boot.log$ @, Q9 g/ `- _* @4 D
! }" s5 W* g+ q6 k. W
Q j' R) G5 [: J4 S* G$ \# ### begin forwarding rule ###
) [3 T0 ?2 j' x" t# The statement between the begin ... end define a SINGLE forwarding
7 d, ~8 \! ~6 u+ y) b+ a# q# rule. They belong together, do NOT split them. If you create multiple
3 u2 N& L/ B2 I6 g# forwarding rules, duplicate the whole block!
# ^. y1 {4 \9 G+ K# Remote Logging (we use TCP for reliable delivery)
) L/ A/ f3 e- U) o5 d, {$ m#
+ k3 j5 j7 k* @% x; {# An on-disk queue is created for this action. If the remote host is
( j9 E9 h9 L! F4 e; Y# down, messages are spooled to disk and sent when it is up again." s+ y* x( _4 z1 A
#$WorkDirectory /var/lib/rsyslog # where to place spool files
0 {+ a; ^- t! f* D5 q: [#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
2 j0 Q, |% b; F#$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)8 c, C& R% c' Y* c, ]& ~5 R; O& y" x
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown/ M, K) j# j+ V
#$ActionQueueType LinkedList # run asynchronously
7 G& t! I+ @+ d6 {#$ActionResumeRetryCount -1 # infinite retries if host is down
. X3 m# q1 R: m/ Y& b# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional. Q; L9 J% F" u4 C
#*.* @@remote-host:514
1 N' j' q2 U/ ?5 G9 e8 k$ e [*.* @@192.168.10.211:5140 v( ~# N' W2 g( x5 @- X: r
# ### end of the forwarding rule ###
0 j" S0 s/ d+ o) F: b: N/ t: g2 C# G8 Y# B
# A template to for higher precision timestamps + severity logging- d- I/ J( p& X( C+ J) P5 P" ?4 }
$template SpiceTmpl,"%TIMESTAMP%.%TIMESTAMP:::date-subseconds% %syslogtag% %syslogseverity-text%:%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"1 W! n: g* |7 U7 {, A2 j' g, w
% f% o6 J6 x I:programname, startswith, "spice-vdagent" /var/log/spice-vdagent.log;SpiceTmpl4 U9 c+ ~+ h2 }
! f, [% t, W3 ~1 I' g# W" G5 S
: N8 V2 ~* V4 T7 O+ G* ?5 ^' M
) F7 S, @0 h9 r7 m重启日志服务:* Y S) }2 q4 G3 l( B# e4 m% r
service rsyslog restart
6 c4 {$ u: X5 q# V" N3 H; X$ T+ _+ {
: C2 C) v% R$ K- H# U# k% x+ l6 r, Q" h5 I, _& ~9 Q% G
|
发表于 2017-9-22 18:30:03