在centos上,syslog其實是rsyslog,對應的配置文件為/etc/rsyslog.conf,守護進程為:/etc/rsyslog.d
-----------------------------------------------
ref: http://www.linuxquestions.org/questions/linux-security-4/what-is-local0-through-local7-310637/
another thing is that :
local0-local7 are local facilities defined by the user, to log specific deamons
for example:
you can change the sshd_config file ( which is the configuration file of the sshd deamon )
from
Syslogfacility authpriv
to
Syslogfacility local7
and add the following line in the /etc/rsyslog.conf file
local7.* /var/log/sshd.log
after restarting rsyslogd and sshd, any ssh sessions to the server will be logged in the /var/log/sshd.log file
----------------------------------
unix類系統提供了系統范圍的日志服務支持:syslogd。Syslogd啟動時讀配置文件/etc/syslog.conf。syslog.conf的每一行(#開頭的為注釋,將被忽略)由“選擇符 動作”組成(selector action)。
選擇符的形式為“設施.優先級”(facility.priority)。設施和優先級的名字都是系統提供的標准名字。
設施(facility):
kern 0 內核日志消息
user 1 隨機的用戶日志消息
mail 2 郵件系統日志消息
daemon 3 系統守護進程日志消息
auth 4 安全管理日志消息
syslog 5 syslogd本身的日志消息
lpr 6 打印機日志消息
news 7 新聞服務日志消息
uucp 8 UUCP系統日志消息
cron 9 系統始終守護進程crond的日志消息
authpriv 10 私有的安全管理日志消息
ftp 11 ftp守護進程日志消息
12~15 保留為系統使用
local0~local7 16~23保留為本地使用
優先級(priority),優先級越低情況越嚴重:
emerg 0 系統不可用
alert 1 必須馬上采取行動的事件
crit 2 關鍵的事件
err 3 錯誤事件
warning 4 警告事件
notice 5 普通但重要的事件
info 6 有用的信息
debug 7 調試信息
可以用*表示任何設施(句點前的*)或任何優先級(句點后的*)。指定一個優先級的意思為大於等於該優先級的日志消息。可以用none表示不包括任何優先級。
Linux對bsd的syslog做了一些擴展,引入了’=’和’!’。可以在任何一個優先級前用’=’,表示僅僅針對該優先級而不包括大於它的優先級。’!’表示求反,可以放在優先級或’=’前面(如果有的話),表示和原來相反的意思。
具有相同優先級的幾個設施可以一起寫在句點前面,用’,’分開。具有相同動作的多個選擇符可以寫在同一行的選擇符域,各個選擇符之間用’;’分開。
一個合法的選擇符為如下一些情況(舉例說明):
1,*.* :任何設施的任何優先級的日志消息
1,local0.*: local0的任何優先級的日志消息
2,*.crit任何設施的優先級大於等於關鍵事件的日志消息
3,*.=crit 任何設施的關鍵事件日志消息
4,*.*;kern.none 除kern外的其他任何設施的任何日志消息
5,kern.info;kern.!err kern設施從info到warning之間的日志消息
動作域描述抽象名詞”logfile”,一個”logfile”不必是一個真正的文件。Syslogd提供了如下的動作:
1,正常的文件,用文件的全路徑名描述。路徑名前加’-‘表示忽略同步文件。
2,命名管道(fifo)。在表示命名管道的文件全路徑名前加”|”表示將日志寫入命名管道。
3,終端和控制台。如/dev/console。
4,遠程機器。“@hostname”
5,用戶列表
6,登錄的所有用戶。用*表示。
日志函數:
void openlog(char *iden,int option,int facility)
void syslog(int priority,char *format);
日志消息格式:
<facility<<3|priority>ident:formatted string
為了利用syslogd提供的強大的日志功能,可以在日志系統中使用這些日志函數。
在openlog中,option一般取0,設施就是上面定義的這些,但用如下一些常數表示:
LOG_AUTH auth
LOG_AUTHPRIV authpriv
LOG_CRON cron
LOG_DAEMON daemon
LOG_KERN kern
LOG_LOCAL0~LOG_LOCAL7 local0~local7
LOG_LPR lpr
LOG_MAIL mail
LOG_NEWS news
LOG_SYSLOG syslog
LOG_USER user
LOG_UUCP uucp
syslog()函數中的priority就是上面提到的那些優先級,這里用如下常數表示
LOG_EMERG emerg
LOG_ALERT alert
LOG_CRIT crit
LOG_ERR err
LOG_WARNING warning
LOG_NOTICE notice
LOG_INFO info
LOG_DEBUG debug
syslog() 中的format的用法和printf(char *format)一樣。
比如,可以在IKE模塊中openlog(“IKE”,0,LOG_LOCAL0)
然后在需要做日志的地方比如加密卡出故障的時候:
syslog(LOG_EMERG,”SJY01-A cipher Crash!”);