syslog 介绍

Syslog服务

1 介绍

Syslog广泛应用与系统日志、syslog日志消息既可以记录到本地文件，也可以通过网络发送到接收syslog的服务器，接收的服务器可以对多个设备的消息进行统一的存储或者解析其中内容做相应处理，常见的应用场景就是网络管理工具、安全管理系统、日志审计系统。

完整的syslog日志包含了 产生日志的程序模块（facility）严重性（severity）时间、主机名或ip、进程名、进程id、正文。

约定发送syslog的设备为device，转发syslog的设备为relay、接收syslog的设备为collector；

建议syslog消息发送到collector的udp 514端口不需要接受方应答；完整的syslog消息由三部分组成，分别是pri、header、msg

 

Syslog 消息格式

<30>Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting.

 其中“<30>”是PRI部分，“Oct 9 22:33:20 hlfedora”是HEADER部分，“auditd[1787]: The audit daemon is exiting.”是MSG部分。

PRI部分由尖括号包含的一个数字构成，这个数字包含了程序模块（Facility）、严重性（Severity），这个数字是由Facility乘以 8，然后加上Severity得来

 

重要级

debug       不包含函数条件或问题的其他信息

info            提供信息的消息

none        没有重要级，通常用于排错

notice      具有重要性的普通条件

warning     预警信息

err         阻止工具或某些子系统部分功能实现的错误条件

crit            阻止某些工具或子系统功能实现的错误条件

alert           需要立即被修改的条件

emerg       该系统不可用

 

Linux sysylog设置

1、编辑/etc/sysconfig/syslog文件,让服务器能够接受客户端传来的数据：

在“SYSLOGD_OPTIONS”行上加“-r”选项以允许接受外来日志消息

2重新启动syslog守护进程

Service syslog restart

3 关闭iptables 或者开启514端口

 

配置客户端

 1、配置/etc/syslog.conf

         修改客户机/etc/syslog.conf文件，在有关配置行的操作动作部分用一个“@”字符指向日志服务器

[root@client ~]# vim /etc/syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

#kern.*                                                 /dev/console

*.*                                                     @10.64.165.210

# The authpriv file has restricted access.

authpriv.*                                              /var/log/secure