前言
syslog是UNIX系統中提供的一種日志記錄方法(RFC3164),syslog本身是一個服務器,程序中凡是使用syslog記錄的信息都會發送到該服務器,服務器根據配置決定此信息是否記錄,是記錄到磁盤文件還是其他地方,這樣使系統內所有應用程序都能以統一的方式記錄日志,為系統日志的統一審計提供了方便。
AIX上同樣提供這套服務。
服務與配置
默認情況下,配置文件位於/etc/syslog.conf。但我們可以用-f選項來指定程序啟動時讀取的配置文件。
AIX使用
startsrc -s syslogd
stopsrc -s syslogd
來啟動或者停止相應服務。
配置文件
配置文件用來告訴syslogd服務將哪些程序產生的,什么等級的信息,寫入到什么地方。
每行配置文件類似以下格式:
selection action rotation
<msg_src_list> <destination> [rotate [size <size> k|m] [files <files>] [time <time> h|d|w|m|y] [compress] [archive <archive>]]
程序選擇:
kern 內核
user 用戶等級
mail 郵件子系統
daemon 守護程序
auth 安全或授權
syslog syslogd守護程序
lpr 行式打印機
news 新聞子系統
uucp uucp子系統
local0-7 本地使用
* 所有程序
優先級
emerg 指定緊急消息(LOG_EMERG)。這些消息並非分發給所有用戶。可以將 LOG_EMERG 優先級消息記錄到單獨文件備查。
alert 指定重要的消息(LOG_ALERT),如嚴重的硬件錯誤。這些消息分發給所有用戶。
crit 指定不列為錯誤的關鍵消息(LOG_CRIT),如不適當的登錄嘗試。LOG_CRIT 和較高優先級消息會發送到系統控制台。
err 指定表示錯誤情況的消息(LOG_ERR),例如失敗的磁盤寫入。
warning 指定反常但可恢復的情況的消息(LOG_WARNING)。
notice 指定重要的參考消息(LOG_NOTICE)。沒有指定優先級的消息會映射為此優先級的消息。
info 指定參考消息(LOG_INFO)。這些消息可以廢棄,但它們在分析系統是很有用。
debug 指定調試消息(LOG_DEBUG)。這些消息可以廢棄。
none 排除選定的程序。只有在同一 selector 字段里跟在帶有 *(星號)的條目后時,該優先級級別才有用。
例子
1. 要在調試級別或更高級別將所有的郵件工具消息記錄到文件 /tmp/mailsyslog,請輸入以下命令:
mail.debug /tmp/mailsyslog
2. 要將除來自郵件工具之外的所有系統消息發送到主機 rigil,請輸入以下命令:
*.debug;mail.none @rigil
3. 要將所有工具中優先級為 emerg 的消息和郵件工具與守護程序工具中優先級為 crit 及更高級別的消息發送到用戶 nick 和 jam,請輸入以下命令:
*.emerg;mail,daemon.crit nick, jam
4. 要將所有郵件工具消息發送到所有用戶的終端屏幕,請輸入以下命令:
mail.debug *
5. 要將調試級別或更高級別的工具消息記錄到 /tmp/syslog.out,並且在下列情況下旋轉文件:文件超過 500 KB,一周之后將旋轉文件數限制為 10,使用壓縮並使用 /syslogfiles 作為歸檔目錄,請輸入以下命令:
*.debug /tmp/syslog.out rotate size 500k time 1w files 10 compress archive /syslogfiles <S-Del>