Linux日志系统

Linux日志介绍
日志文件一般放在/var/log/目录下，以下为各文件的描述：
/var/log/boot.log :自检日志，系统启动时的日志
/var/log/cron :cron任务计划日志，每一次执行都记录
/var/log/dmesg :内核缓冲信息，硬件相关的信息，可以使用dmesg命令查看
/var/log/lastlog :记录所有用户的最近信息，非文本文件，可以使用lastlog命令查看
/var/log/maillog :邮件服务器的日志，收发记录
/var/log/message :系统标准错误信息，非内核信息，各子系统产生的信息
/var/log/secure :记录认证和授权信息，安全信息
/var/log/yum.log :使用yum安装软件包信息
/var/log/wtmp :记录用户正常的登录信息
/var/log/btmp :记录用户失败的登录信息
/var/log/anaconda :记录在安装系统时的信息 centos or redhat
/var/log/anaconda,log :记录在安装系统时的信息 centos or redhat
/var/log/audit :包含audit daemon的审计日志
/var/log/sa 目录 :包含每日由sysstat软件包收集的sar日志
/var/log/cpus :设计所有打印信息的日志
其他目录或文件有一些软件默认输出到/var/log 目录下定义日志
日志同名文件为滚动文件避免一个文件过大查看是浪费内存，而且不易观看
主配置文件 ：/etc/rsyslog.conf
格式为：facility . priority action
Facility可以理解为日志的来源或设备，常用的有以下几种：
auth :认证相关的
authpriv :权限，授权相关的
cron :任务计划相关的
daemon :守护进程相关的
kern :内核相关的
lpr :打印相关的
mail :邮件相关的
news :新闻相关的
security :安全相关的
syslog :syslog自己的
user :用户相关的
uucp :unix to unix copy 之间相关的
local10—local17 :用户自定义使用
priority日志的级别，有以下几种：
debug :程序或系统调试信息
info :一般信息
notice :不影响正常功能使用，需要注意的信息
warn/warning :可能影响系统功能，需要提醒用户的重要事件
err/error :错误信息，需修改
alert :必须马上处理
crlt :严重级别
emerg/oanic :会导致系统不可用的
facility和priority之间的连接符含义：
.xxx :表示大于或等于xxx的信息被记录
.=xxx :表示等于xxx的信息被记录
.!xxx :表示除xxx之外的信息被记录
.xxx,xxx :表示xxx和xxx两者的信息都被记录
Action为收到的日志放到什么位置，动作，有以下几种：
系统上的据对路径 如:/var/log/FILENAME
| ：管道，交由其他命令做处理
终端 如:/dev/console
@host :远程主机，发送到指定主机接受，如@192.168.1.2，信息发送到1.2主机上，一个@表示使用的是UDP协议发送，两个@@表示使用TCP协议发送
用户 如：root，收到的信息都发送给root用户
自定义日志可查看日志主配置文件/etc/rsyslog.conf，里面定义了详细格式
如果要让主机成为日志服务器接收其他主机的日志，编辑/etc/sysconfig/rsyslog，在文件中SYSLOG_OPTION后写入-r选项即可。