目录：

一、syslog简介

syslog是一种工业标准的协议，可用来记录设备的日志。在UNIX系统，路由器、交换机等网络设备中，系统日志(System Log)记录系统中任何时间发生的大小事件。管理者可以通过查看系统记录，随时掌握系统状况。UNIX的系统日志是通过syslogd这个进程记录系统有关事件记录，也可以记录应用程序运作事件。通过适当的配置，我们还可以实现运行syslog协议的机器间通信，通过分析这些网络行为日志，藉以追踪掌握与设备和网络有关的状况。

功能：记录至系统记录。

二 、syslog服务与配置

2.1、安装syslog软件包

软件包名称为：rsyslog-5.8.10-10.el6_6.x86_64

我用的是centos系统，配置的有第三方的yum源，我直接yum install直接装就OK了

装完后用 rpm -qa | grep syslog下看是否已安装

2.2、syslog日志系统可以根据程序详细信息的不同定义不同的日志级别

2.3、Linux上的日志系统分为：syslog和syslog-ng(syslog日志系统的升级版)

2.4、syslog服务：

syslog服务进程分两个，分别是：syslogd(系统，非内核产生的日志)和klogd(专门记录内核产生的日志)

kernel-->物理终端(/dev/console)-->/var/log/dmesg

其中/var/log/dmesg文件可以使用dmesg命令和cat查看文件内容

日志滚动(日志切割)：

所谓的滚动是指历史信息所保存的日志，如;messages文件日志会越来越大等到了某一段时间，会把messages文件重新命名为messages.1，系统并重新创建messages文件，所以叫做日志滚动

/sbin/init

/var/log/messages:系统标准错误日志信息；非内核产生的引导信息，各子系统产生的信息

/vat/log/maillog:邮件系统产生的日志信息

/vat/log/secure:安全相关log

系统自带的日志切割程序logrotate

logrotate脚本配置文件

[root@localhost cron.daily]# pwd/etc/cron.daily

[root@localhost cron.daily]# vim logrotate

滚动日志信息配置文件

[root@localhost cron.daily]# pwd/etc/cron.daily

[root@localhost cron.daily]# vim/etc/logrotate.conf

# see"man logrotate" fordetails

# rotate log files weekly

weekly #每周滚动一次

# keep4weeks worth of backlogs

rotate4#只保留4个切割版本文件，超过后清除

# createnew(empty) log files after rotating old ones

create #滚动完之后创建一个空的新的文件

# use dateasa suffix of the rotated file

dateext

# uncommentthis ifyou want your log files compressed

#compress

# RPM packages drop log rotation information intothisdirectory

include/etc/logrotate.d #包括/etc/logrotate.d 下的文件，手动添加可直接添加到此目录

# no packages own wtmp and btmp-- we'll rotate them here

/var/log/wtmp{

monthly #按月，自己定义

create0664root utmp #创建文件并0664权限

minsize 1M #最新1M

rotate1#保留几个版本

}/var/log/btmp{

missingok

monthly

create0600root utmp

rotate1}

# system-specific logs may be also be configured here.

[root@localhost cron.daily]#

syslog配置文件/etc/rsyslog.conf

注：centos 6 的配置文件是/etc/rsyslog.conf，centos5的配置文件是/etc/syslog.conf

2.5、配置文件定义格式为facility.priority  action

facility是指哪个facility来源产生的日志；   priority是指拿个级别的日志 ；action是指产生日志怎么办是保存在文件中还是其他。。。

facility可以理解为日志的来源或设备或选择条件，目前常用的facility有以下几种：

auth                      #认证相关的

authpriv                #权限，授权相关的

cron                      #任务计划相关的

daemon                #守护进程相关的

kern                       #内核相关的

lpr                          #打印相关的

mail                        #邮件相关的

mark                       #标记相关的

news                       #新闻相关的

security                   #安全相关的，与auth类似

syslog                      #syslog自己的

user                         #用户相关的

uucp                        #unix to unix cp相关的

local0到local7          #用户自定义使用

*                                #*表示所有的facility

priority(log level)日志优先级的级别，一般分为以下几种级别(从低到高)

注：级别越低记录的越详细

debug                    #程序或系统的调试信息

info                         #一般信息

notice                     #不影响正常的功能，需要提醒用户的重要事件

warning/warn         #可能影响系统功能，需要提醒用户的重要事件

err/error                  #错误信息

crit                           #比较严重的

alert                         #必须马上处理的

emerg/canic            #会导致系统不可用的

*                               #表示所有的日志级别

none                        #跟*相反，表示什么也没有

action(动作)日志记录的位置

系统上的绝对路径      #普通文件 如：/var/log/XXX

|                                #管道 通过管道送给其他的命令出来

终端                          #终端 如：/dev/console

@host                      #远程主机  如@10.1.1.1

用户                          #系统用户 如:root

*                               #登录到系统上的所有用户，一般emerg级别的日志是这样定义的

定义格式列子：

mail.info  /var/log/mail.log   #表示将mail相关的，级别为info及info以上级别的信息记录到/var/log/mail.log文件中

auth.=info  @10.1.1.1            #表示将auth相关的，级别为info的信息记录到10.1.1.1主机上去，前提是10.1.1.1要能接收其主机发来的日志信息

user.!=error                            #表示记录user相关的，不包括error级别的信息

user.！error                           #表示user.error相反

*.info                                      #表示记录所有的日志信息的info级别

mail.*                                      #表示记录所有mail相关的所有级别的信息

*.*                                           #表示记录所有的日志信息的所有的日志级别

cron.info;mail.info                  #多个日志来源可以用“ ; ”隔开

cron,mail.info                         #与cron.info;mail.info        是一个意思

mail.*;mail.!=info                    #表示记录mail相关的所有级别的信息，但是不包括info级别的信息

重启服务

#service rsyslog reload    注：不重启但能读到配置文件；不建议重启

2.6、搭建Linux日志服务器

编辑配置文件 [root@localhost etc]# vim /etc/sysconfig/rsyslog

修改配置文件中SYSLOGD_OPTIONS="-c 5" 添加“ -r选项”即可

目的可以让服务器能够接受客户端传来的数据

配置文件如下

[root@localhost etc]# vim /etc/sysconfig/rsyslog

# Optionsforrsyslogd

# Syslogd options are deprecated since rsyslog v3.

# If you want to use them,switch to compatibility mode 2 by "-c 2"# See rsyslogd(8) formore details

SYSLOGD_OPTIONS="-r -c 5"

~

重启syslog服务

[root@localhost etc]# service rsyslog restart

关闭系统日志记录器： [确定]

启动系统日志记录器：-r option only supported incompatibility modes 0 to 2 -ignored

[确定]

[root@localhost etc]#

2.7、搭建syslog客户端

在syslog配置文件中修改/etc/rsyslog.conf

[root@localhost etc]# vim /etc/rsyslog.conf

# Log all kernel messages to the console.

# Logging muchelseclutters up the screen.

#kern.* /dev/console

# Log anything (except mail) of level info or higher.

# Don't log private authentication messages!

*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.

authpriv.* /var/log/secure

# Log all the mail messagesinone place.

mail.* @192.168.1.66# Log cron stuff

cron.* /var/log/cron

.

.

.

省略

重启syslog客户端

[root@localhost etc]# service rsyslog restart

关闭系统日志记录器： [确定]

启动系统日志记录器：-r option only supported incompatibility modes 0 to 2 -ignored

[确定]

[root@localhost etc]#

syslog日志服务器搭建 内容精选

换一换

提供多个业务节点提供共享的日志输出目录，方便分布式应用的日志收集和管理。业务特点：多个业务主机挂载同一个共享文件系统，并发打印日志。大文件小I/O：单个日志文件比较大，但是每次日志的写入I/O比较小。写I/O密集型：业务以小块的写I/O为主。多个业务主机挂载同一个共享文件系统，并发打印日志。大文件小I/O：单个日志文件比较大，但是每次日志

云审计CTS与LTS进行系统对接后，系统自动在云日志服务控制台创建的日志组和日志流，如果需要将CTS的日志转储至OBS中，您需要进行以下操作：在云审计服务管理控制台，单击左侧导航栏中的“追踪器”。单击追踪器“system”右侧的“配置”。在“配置追踪器”页面，开启“事件分析”。在云日志服务管理控制台，选择左侧导航栏中的“日志转储”，单击“

syslog日志服务器搭建 相关内容

当您想要对云审计服务追踪的事件进行分析，您可以通过开启云审计服务的事件分析功能，将日志上报至云日志服务。已开通云审计服务。开启云审计服务后系统会自动创建一个管理事件追踪器“system”，您可以通过本操作打开追踪器的事件分析开关，完成CTS日志上报配置。登录管理控制台。在管理控制台左上角单击，选择区域和项目。选择“服务列表 > 管理与部署

华为云帮助用户快速创建采集、清洗、检索、报表和展示一体化的端到端日志分析平台，深入洞察数据，充分发掘日志的业务价值

来自：解决方案

syslog日志服务器搭建 更多内容

为加强对系统数据的容灾管理，云堡垒机支持配置日志备份，提高审计数据安全性和系统可扩展性。本小节主要介绍如何在系统配置FTP/SFTP服务器参数，将日志远程备份至FTP/SFTP服务器。开启远程备份后，系统默认在每天零点备份前一天的系统数据。以天为单位自动备份，生成日志文件，并上传到FTP/SFTP服务器相应路径。服务器同一路径下，不能重复

云监控服务为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。云监控服务架构图如图1所示。云监控服务主要具有以下功能：自动监控：云监控服务不需要开通，在创建弹性云服务器等资源后监控服务会自动启动，您可以直接到云监控服务查看该资源运行状态并

服务器上的ICAgent被卸载后，会影响该服务器的日志采集能力，请谨慎操作！云日志服务主机管理界面，仅支持卸载安装在Linux环境中的ICAgent，如果需要卸载安装Windows环境中的ICAgent，请在ICAgent安装包解压目录下，双击执行“ICAgent安装包解压目录\ICProbeAgent\bin\manual\win\un

开通云审计服务成功后，您可以在追踪器信息页面查看系统自动创建的追踪器的详细信息。详细信息主要包括追踪器名称，用于存储操作事件的OBS桶名称和OBS桶中的事件文件前缀。GET /v1.0/{project_id}/tracker无状态码： 200状态码： 200请求成功。请参见错误码。

如果您需要对华为云上购买的LTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务(Identity and Access Management，简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制LTS资源的访问。通过IAM，您可以在华为云帐

简要介绍Rsyslog是一个集中日志管理工具，基于流行的服务端/客户端模式，通过TCP或者UDP传输协议来发送日志信息，或者从网络设备、服务器、路由器、交换机、以及其它系统或嵌入式设备中接收生成的日志。语言：C一句话概述：集中日志管理工具云服务器要求本文以云服务器KC1实例测试，云服务器配置如表1所示。操作系统要求操作系统要求如表2所示。

本地使用远程桌面连接登录Windows server 2012云服务器，报错：122.112...，服务器频繁掉线，Windows登录进程意外中断。系统资源不足或不可用。服务启动失败。通过VNC方式登录云服务器。单击打开服务管理，选择“管理工具 > 事件查看器 > Windows日志 > 系统 > 筛选当前日志”。事件查看器在“事件级别”

SQL Server使用日志传送来进行灾备，即可以自动将主服务器上数据库实例的事务日志发送到辅助服务器上，用于灾备的数据库实例进行还原操作。如图1所示的方案中，用户的生产数据中心部署主服务器实例，安装SQL Server数据库，作为主数据库。华为云上部署辅助服务器实例，安装SQL Server数据库，作为灾备数据库，即辅助数据库。用户的生

配置日志服务从日志中提取指定的关键词，便于您使用云监控服务对日志中的关键指标进行监控及告警。已使用云日志服务，并已在云日志服务中创建筛选器，再查看日志监控数据。已创建日志组与日志主题，创建过程请参考创建日志组与创建日志主题。已经完成对接资源和采集日志规则，具体操作请参考配置日志采集规则。登录管理控制台，选择“服务列表 > 云日志服务”。单

为加强对数据的容灾管理，云堡垒机支持手动备份和配置日志远程备份，提高审计数据安全性和系统可扩展性。通过手动导出/下载各功能模块数据文件保存在本地，可手动备份日志请参见表1。系统内导出的csv文件，用Excel打开可能会乱码。若出现乱码情况，请先修改文件编码格式再打开文件，详细说明请参考为什么打开CBH系统数据文件显示乱码？通过配置日志备份

简要介绍log4cpp是一个开源的C++类库，它提供了在C++程序中使用日志和跟踪调试的功能。使用log4cpp，可以很便利地将日志或者跟踪调试信息写入字符流、内存字符串队列、文件、回滚文件、调试器、Windows日志、本地syslog和远程syslog服务器中。语言：C++一句话描述：使用日志和跟踪调试的开源库开源协议：LGPL建议的版