rsyslog.service 的配置文件:/etc/rsyslog.conf
我們現在知道 rsyslogd 可以負責主機產生的各個信息的登錄,而這些信息本身是有『嚴重等級』之分的, 而且, 這些資料最終要傳送到哪個文件去是可以修改的呢,所以我們才會在一開頭的地方講說,每個 Linux distributions 放置的登錄檔檔名可能會有所差異啊!
基本上, rsyslogd 針對各種服務與訊息記錄在某些文件的配置文件就是 /etc/rsyslog.conf, 這個文件 規定了『(1)什么服務 (2)的什么等級訊息 (3)需要被記錄在哪里(裝置或文件)』 這三個咚咚,所以設 定的語法會是這樣:
服務名稱[.=!]訊息等級 訊息記錄的文件名或裝置或主機
# 底下以 mail 這個服務產生的 info 等級為例:
mail.info /var/log/maillog_info
# 這一行說明:mail 服務產生的大於等於 info 等級的訊息,都記錄到
# /var/log/maillog_info 文件中的意思。
我們將上面的數據簡單的分為三部分來說明:
- 服務名稱
rsyslogd 主要還是透過 Linux 核心提供的 syslog 相關規范來設定數據的分類的,Linux 的 syslog 本身有規范一些服務訊息, 你可以透過這些服務來儲存系統的訊息。Linux 核心的 syslog 認識的服 務類型主要有底下這些:
| 相對序號 | 服務類別 | 說明 |
|---|---|---|
| 0 | kern(kernel) | 就是核心 (kernel) 產生的訊息,大部分都是硬件偵測以及核心功能的啟用 |
| 1 | user | 在用戶層級所產生的信息,例如后續會介紹到的用戶使用 logger 指令來記錄登錄文件的功能 |
| 2 | 只要與郵件收發有關的訊息記錄都屬於這個; | |
| 3 | daemon | 主要是系統的服務所產生的信息,例如 systemd 就是這個有關的訊息! |
| 4 | auth | 主要與認證/授權有關的機制,例如 login, ssh, su 等需要賬號/密碼的咚咚; |
| 5 | syslog | 就是由 syslog 相關協議產生的信息,其實就是 rsyslogd 這支程序本身產生的信息啊! |
| 6 | lpr | 亦即是打印相關的訊息啊! |
| 7 | news | 與新聞組服務器有關的東西; |
| 8 | uucp | 全名為 Unix to Unix Copy Protocol,早期用於 unix 系統間的程序數據交換; |
| 9 | cron | 就是例行性工作排程 cron/at 等產生訊息記錄的地方; |
| 10 | authpriv | 與 auth 類似,但記錄較多賬號私人的信息,包括 pam 模塊的運作等! |
| 11 | ftp | 與 FTP 通訊協議有關的訊息輸出! |
| 16~23 | local0 ~ local7 | 保留給本機用戶使用的一些登錄文件訊息,較常與終端機互動。 |
上面談到的都是 Linux 核心的 syslog 函數自行制訂的服務名稱,軟件開發商可以透過呼叫上述的服 務名稱來記錄他們的軟件。
為了讓不同的信息放置到不同的文件當中,好讓我們分門別類的進行登錄檔的管理, 所以啰,將各 種類別的服務之登錄文件,記錄在不同的文件里面,就是我們 /etc/rsyslog.conf 所要作的規范了!
- 訊息等級
同一個服務所產生的訊息也是有差別的,有啟動時僅通知系統而已的一般訊息 (information), 有出 現還不至於影響到正常運作的警告訊息 (warn) ,還有系統硬件發生嚴重錯誤時,所產生的重大問題 訊息 (error 等等);訊息到底有多少種嚴重的等級呢?基本上,Linux 核心的 syslog 將訊息分為七 個主要的等級,名稱與數值的對應如下:
| 等級數值 | 等級名稱 | 說明 |
|---|---|---|
| 7 | debug | 用來 debug (除錯) 時產生的訊息數據; |
| 6 | info | 僅是一些基本的訊息說明而已; |
| 5 | notice | 雖然是正常信息,但比 info 還需要被注意到的一些信息內容; |
| 4 | warning(warn) | 警示的訊息,可能有問題,但是還不至於影響到某個 daemon 運作的信息;基本上,info, notice, warn 這三個訊息都是在告知一些基本信息而已,應該還不至於造成一些系統運作 困擾; |
| 3 | err(error) | 一些重大的錯誤訊息,例如配置文件的某些設定值造成該服務服法啟動的信息說明, 通 常藉由 err 的錯誤告知,應該可以了解到該服務無法啟動的問題呢! |
| 2 | crit | 比 error 還要嚴重的錯誤信息,這個 crit 是臨界點 (critical) 的縮寫,這個錯誤已經很 嚴重了喔! |
| 1 | alert | 警告警告,已經很有問題的等級,比 crit 還要嚴重! |
| 0 | emerg(panic) | 疼痛等級,意指系統已經幾乎要當機的狀態! 很嚴重的錯誤信息了。通常大概只有硬件 出問題,導致整個核心無法順利運作,就會出現這樣的等級的訊息吧! |
基本上,在 0(emerg) 到 6(info) 的等級之間,等級數值越高代表越沒事,等級靠近 0 則代表事情大條了!除了 0 到 6 之外還有兩個比較特殊的等級, 那就是 debug(錯誤偵測等級) 與 none (不需登 錄等級) 兩個。當我們想要作一些錯誤偵測,或者是忽略掉某些服務的信息時, 就用這兩個吧!
特別留意一下在訊息等級之前還有 [.=!] 的鏈接符號喔!他代表的意思是這樣的:
- . :代表『比后面還要嚴重的等級 (含該等級) 都被記錄下來』的意思,例如: mail.info 代表只要是 mail 的信息,而且該信息等級嚴重於 info (含 info 本身)時,就會被記錄下來的意思。
- .=:代表所需要的等級就是后面接的等級而已, 其他的不要!
- .!:代表不等於, 亦即是除了該等級外的其他等級都記錄。
- 訊息記錄的文件名或裝置或主機
再來則是這個訊息要放置在哪里的設定了。通常我們使用的都是記錄的文件啦!但是也可以輸出到裝 置呦! 例如打印機之類的!也可以記錄到不同的主機上頭去呢!底下就是一些常見的放置處:
- 文件的絕對路徑:通常就是放在 /var/log 里頭的文件啦!
- 打印機或其他:例如 /dev/lp0 這個打印機裝置
- 使用者名稱:顯示給用戶啰!
- 遠程主機:例如 @study.vbird.tsai 當然啦,要對方主機也能支持才行!
- *:代表『目前在在線的所有人』,類似 wall 這個指令的意義!
- 服務、daemon 與函數名稱
| syslog | 這個是 Linux 核心所提供的登錄檔設計指引,所有的要求大概都寫入道一個名為 syslog.h 的頭文 件案中。如果你想要開發與登錄文件有關的軟件, 那你就得要依循這個 syslog 函數的要求去設 計才行!可以使用 man 3 syslog 去查詢一下相關的數據! |
| rsyslogd | 為了要達成實際上進行訊息的分類所開發的一套軟件,所以,這就是最基本的 daemon 程序! |
| rsyslog.service | 為了加入 systemd 的控制,因此 rsyslogd 的開發者設計的啟動服務腳本設定! |
早期 CentOS 5.x 以前,要達成 syslog 的 功能是由一只名為 syslogd 的 daemon 來完成的, 從 CentOS 6 以來 (包含 CentOS 7) 則是透過 rsyslogd 這個 daemon 啰!
- CentOS 7.x 預設的 rsyslog.conf 內容
我們來看一看 rsyslogd 有哪些系統服務已經在記錄了呢?就是瞧一瞧 /etc/rsyslog.conf 這個文件的預設內容啰! (注意!如果需要將該行做為批注時,那么就加上 # 符號 就可以啦)
# 來自 CentOS 7.x 的相關資料
[root@study ~]# vim /etc/rsyslog.conf
1 #kern.* /dev/console
2 *.info;mail.none;authpriv.none;cron.none /var/log/messages
3 authpriv.* /var/log/secure
4 mail.* -/var/log/maillog
5 cron.* /var/log/cron
6 *.emerg :omusrmsg:*
7 uucp,news.crit /var/log/spooler
8 local7.* /var/log/boot.log
上面總共僅有 8 行設定值,每一行的意義是這樣的:
-
#kern.*:只要是核心產生的訊息,全部都送到 console(終端機) 去。console 通常是由外部裝置連接到系統 而來, 舉例來說,很多封閉型主機 (沒有鍵盤、屏幕的系統) 可以透過連接 RS232 連接口將訊息傳輸到外 部的系統中, 例如以筆記本電腦連接到封閉主機的 RS232 插口。這個項目通常應該是用在系統出現嚴重 問題而無法使用默認的屏幕觀察系統時, 可以透過這個項目來連接取得核心的訊息。
-
*.info;mail.none;authpriv.none;cron.none:由於 mail, authpriv, cron 等類別產生的訊息較多, 且已經寫入底 下的數個文件中,因此在 /var/log/messages 里面就不記錄這些項目。除此之外的其他訊息都寫入 /var/log/messages 中。這也是為啥我們說這個 messages 文件很重要的緣故!
-
authpriv.*:認證方面的訊息均寫入 /var/log/secure 文件;
-
mail.*:郵件方面的訊息則均寫入 /var/log/maillog 文件;
-
cron.*:例行性工作排程均寫入 /var/log/cron 文件;
-
*.emerg:當產生最嚴重的錯誤等級時,將該等級的訊息以 wall 的方式廣播給所有在系統登入的賬號得知, 要這么做的原因是希望在線的用戶能夠趕緊通知系統管理員來處理這么可怕的錯誤問題。
-
uucp,news.crit:uucp 是早期 Unix-like 系統進行數據傳遞的通訊協議,后來常用在新聞組的用途中。 news 則是新聞組。當新聞組方面的信息有嚴重錯誤時就寫入 /var/log/spooler 文件中;
-
local7.*:將本機開機時應該顯示到屏幕的訊息寫入到 /var/log/boot.log 文件中;
在記錄的文件 /var/log/maillog 前面還有個減號『 - 』是干嘛 用的?由於郵件所產生的訊息比較多,因此我們希望郵件產生的訊息先儲存在速度較快的內存中 (buffer) ,等到數據量夠大了才一次性的將所有數據都填入磁盤內,
- 自行增加登錄文件文件功能
如果你有其他的需求,所以需要特殊的文件來幫你記錄時,呵呵!別客氣,千萬給他記錄在 /etc/rsyslog.conf 當中,如此一來,你就可以重復的將許多的信息記錄在不同的文件當中,以方便你的管理呢!讓我們來作個練習題吧!
# 1. 先設定好所要建立的文件設置!
[root@study ~]# vim /etc/rsyslog.conf
# Add by VBird 2015/08/19 <==再次強調,自己修改的時候加入一些說明
*.info /var/log/admin.log <==有用的是這行啦!
# 2. 重新啟動 rsyslogd 呢!
[root@study ~]# systemctl restart rsyslog.service
[root@study ~]# ll /var/log/admin.log
-rw-r--r--. 1 root root 325 Aug 20 00:54 /var/log/admin.log
# 瞧吧!建立了這個登錄檔出現啰!
登錄檔的安全性設置
如果你的登錄檔不見了,那該怎辦?
基本上,我們可以透過一個隱藏的屬性來設定你的登錄檔,成為 『 只可以增加數據,但是不能被刪除 』的狀態,那么或許可以達到些許的保護!不過,如果你的 root 賬號被破解了,那么底下的設定還是無法保護的,因為你要記得『 root 是可以在系統上面進行任何 事情的 』。
既然如此,那么我們就來處理一下隱藏屬性。如果將一個文件以 chattr 設定 i 這個屬性時,那么該文件連 root 都不能殺掉!而且也不能 新增數據,嗯!真安全!但是,如此一來登錄文件的功能豈不是也就消失了? 因為沒有辦法寫入呀! 所以啰,我們要使用的是 a 這個屬性!你的登錄文件如果設定了這個屬性的話,那么 他將只能被增 加,而不能被刪除!
基本上,這個旗標最大的用處除了在保護你登錄文件的數據外, 他還可以幫助你避免掉 不小心寫入登錄檔的狀況喔。要注意的是,當『 你不小心 "手動" 更動過登錄檔后,例如那個 /var/log/messages , 你不小心用 vi 開啟他,離開卻下達 :wq 的參數,呵呵!那么該文件未來將不 會再繼續進行登錄動作! 』
不過,也因為這個 +a 的屬性讓該文件無法被刪除與修改,所以啰,當我們進行登錄文件輪替時 (logrotate) ,將會無法移動該登錄檔的檔名呢!
登錄檔服務器的設定
很簡單啦,我們 CentOS 7.x 預設的 rsyslogd 本身就已經具有這個登錄 文件服務器的功能了, 只是默認並沒有啟動該功能。你可以透過 man rsyslogd 去查詢一下相關 的選項就能夠知道啦!既然是登錄檔服務器,那么我們的 Linux 主機當然會啟動一個埠口來監聽了, 那個預設的埠口就是 UDP 或 TCP 的 port 514 喔!
如上圖所示,服務器會啟動監聽的埠口,客戶端則將登錄檔再轉出一份送到服務器去。 而既然是登 錄檔『服務器』,所以當然有服務器與客戶端 (client) 啰!這兩者的設定分別是這樣的:
# 1. Server 端:修改 rsyslogd 的啟動配置文件,在 /etc/rsyslog.conf 內!
[root@study ~]# vim /etc/rsyslog.conf
# 找到底下這幾行:
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
# 上面的是 UDP 埠口,底下的是 TCP 埠口!如果你的網絡狀態很穩定,就用 UDP 即可。
# 不過,如果你想要讓數據比較穩定傳輸,那么建議使用 TCP 啰!所以修改底下兩行即可!
$ModLoad imtcp
$InputTCPServerRun 514
# 2. 重新啟動與觀察 rsyslogd 喔!
[root@study ~]# systemctl restart rsyslog.service
[root@study ~]# netstat -ltnp | grep syslog
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 2145/rsyslogd
tcp6 0 0 :::514 :::* LISTEN 2145/rsyslogd
# 嘿嘿!你的登錄文件主機已經設定妥當啰!很簡單吧!
至於 client 端的設定就簡單多了!只要指定某個信息傳送到這部主機即可! 舉例來說,我們的登錄 檔服務器 IP 為 192.168.1.100 ,而 client 端希望所有的數據都送給主機, 所以,可以在 /etc/rsyslog.conf 里面新增這樣的一行:
[root@study ~]# vim /etc/rsyslog.conf
*.* @@192.168.1.100
#*.* @192.168.1.100 # 若用 UDP 傳輸,設定要變這樣!
[root@study ~]# systemctl restart rsyslog.service