UNIX 系统日志.pdfVIP

UNIX 系统⽇志 系统⽇志 UNIX 系统有⼀个⾮常灵活和强⼤的⽇志系统，它让你能够记录⼏乎任何你能想象的 东西， 后你可以操作⽇志来获取你需要的信息。 许多版本的 UNIX 提供了⼀个名为 syslog 的通⽤⽇志⼯具，有信息需要记录的单独程 序要将信息发送到 syslog 。 Unix syslog 是⼀个主机可配置的，统⼀的系统⽇志⼯具。该系统采⽤集中式的系统⽇ 志进程，其运⾏程序 /etc/syslogd 或者 /etc/syslog。 系统记录器的操作是相当简单的。程序发送⽇志条⽬到 syslogd，其将会在配置⽂件 /etc/syslogd.conf 或 /etc/syslog 中查找，当找到⼀个匹配后，将⽇志消息 写⼊到期望的⽇志⽂件中。 现有你应该了解的四种基本⽇志术语： 术语 描述 此标识符⽤来描述提交的⽇志信息的应⽤程序或进程。例如邮件，内核和 Facility FTP 。 ⼀个显⽰消息重要性的指⽰器。syslog 作为准则定义了消息的级别，从调试 Priority 信息到关键事件。 Selector ⼀个或更多的 facility 和 level 的结合体 。当⼀个输⼊事件匹配⼀个 selector 时，⼀个 action 会被执⾏。 传⼊的消息匹配 selector 时会发⽣的事情。Action 可以将消息写⼊⽇志⽂ Action 件，将消息回传到控制台或其他设备，将消息写⼊到⼀个登录⽤户，或将消 息发送到另⼀个⽇志服务器。 Syslog Facilities 下⾯是 selector 可⽤的 facility 。不是所有的 facility 都存在于所有版本的 UNIX 。 Facility 描述 auth 需要⽤户名和密码的相关活动 （getty ，su ，login ） authpriv 类似于 auth 的认证，但是记录的⽂件只能被授权的⽤户读取。 console ⽤于捕获信息，这些信息⼀般会传向系统控制台。 cron 与 cron 系统有关的计划任务信息。 daemon 所捕获的所有系统守护进程信息。 ftp ftp 守护进程相关的信息。 kern 内核信息。 local .local7 ⽤户⾃定义使⽤的本地信息。 lpr 与打印服务系统有关的信息。 mail 与邮件系统相关的信息。 mark ⽤于⽣产⽇志⽂件中时间戳的伪事件。 news 与⽹络新闻传输协议( nntp )有关的信息。 ntp 与⽹络时间协议有关的信息。 user 普通⽤户进程产⽣的信息。 uucp UUCP ⼦系统⽣成的信息。 Syslog 优先级 syslog 的优先级( Priority )如下表： Priority 描述 emerg 紧急情况，如即将发⽣的系统崩溃，通常会⼴播到所有⽤户。 alert 需要⽴即修改的情况，如系统数据库的损坏。 crit 关键的情况，如⼀个硬件的错误。 err 普通错误。 warning 警告 notice 不是⼀个错误的情况，但是可能需要⽤特定⽅式的处理⼀下。 info 报告性的消息。 debug ⽤于调试程序的消息。 none 没有重要级别，通常⽤于指定⾮⽇志的消息。 facility 和 level 的组合能够让你辨别记录了什么和这些⽇志信息去哪⼉了。 每个程序尽职尽责地向系统记录器发送消息，记录器基于 selector 定义的 level 决定跟 踪什么和舍弃什么信息。 当你指定了⼀个 level ，系统会记录这⼀ level 及更⾼ level 的⼀切信息。 ⽂件 /etc/syslog.conf ⽂件 /etc/syslog .conf ⽤于配置记录消息的位置。⼀个典型的 syslog .conf ⽂件看起来应 该像这样： *.err;kern.debug;auth.notice /dev/console daemon,auth.notice /var/log/messages /var/log/lpr.log mail.* /