配置文件:/etc/syslog.conf
格式:facility.level action
选择条件 | 操作动作 | |
消息类型 | 重要级别 | file 指定文件的绝对路径 |
kern 内核信息 | debug 不包含函数条件或问题的其他信息 | terminal 或 prin 完全的串行或并行设备标志符 |
user 用户进程信息 | info 提供信息的消息 | @host(@IP地址) 远程的日志服务器 |
mail 电子邮件相关信息 | none 没有重要级,通常用于排错 | |
daemon 后台进程相关信息 | notice 具有重要性的普通条件 | |
authpriv 包括特权信息如用户名在内的认证活动 | warning 预警信息 | |
cron 计划任务信息 | err 阻止工具或某些子系统部分功能实现的错误条件 | |
syslog 系统日志信息 | crit 阻止某些工具或子系统功能实现的错误条件 | |
lpr 打印服务相关信息 | alert 需要立即被修改的条件 | |
news 新闻组服务器信息 | emerg 该系统不可用 | |
uucp uucp 生成的信息 | ||
local0-local7 本地用户信息 |
# 记录所有日志类型的info级别以及大于info级别的信息到/var/log/messages文件中,但是mail邮件信息、authpriv验证信息、corn时间和任务信息除外
*.info;mail.none;authpriv.none;cron.none /var/log/messages
重启rsyslog服务:systemctl restart rsyslog
# 客户端的所有日志使用UDP协议(一个@),发送到远程服务器端
*.* @IP:514
# 客户端的所有日志使用TCP协议(两个@),发送到远程服务器端
*.* @@IP:514
# 所有类型的warning等级及以上日志,发送到远程服务器端
*.warning @IP:514
重启rsyslog服务:systemctl restart rsyslog
Device(发送)-> Relay(转发)->Collector(接收,514端口)
Device(发送)->Collector(接收)
/var/log/dmesg 内核引导信息日志
/var/log/message 标准系统错误信息日志
/var/log/maillog 邮件系统信息日志
/var/log/cron 计划任务日志
/var/log/secure 安全信息日志