centos syslog规则配置

在CentOS系统中，syslog规则的配置主要涉及以下几个方面：

1. syslog配置文件位置

• 主配置文件：/etc/syslog.conf
• 可选配置文件：/etc/rsyslog.conf（rsyslog是syslog的增强版本）

2. 基本配置语法

• facility.priority action
  • facility：日志来源，如auth, daemon, kern, local0等。
  • priority：日志级别，如emerg, alert, crit, err, warning, notice, info, debug。
  • action：日志处理方式，如/var/log/messages, @hostname:port, |command等。

3. 示例配置

使用syslog.conf

# 将authpriv日志发送到远程服务器
authpriv.* @remote_server_ip:514

# 将所有紧急级别的日志记录到/var/log/critical.log
*.emerg /var/log/critical.log

# 将所有级别的auth日志记录到/var/log/auth.log
auth.* /var/log/auth.log

# 将所有级别的daemon日志记录到/var/log/daemon.log
daemon.* /var/log/daemon.log

使用rsyslog.conf

# 模块配置
module(load="imuxsock") # 提供对本地系统日志的支持
module(load="imklog")   # 提供对内核日志的支持

# 全局规则
$ModLoad imfile # 加载imfile模块以监控文件变化
$InputFileName /var/log/myapp.log
$InputFileTag myapp:
$InputFileStateFile stat-myapp
$InputRunFileMonitor

# 规则配置
if $programname == 'myapp' then /var/log/myapp.log
& stop # 停止进一步处理

# 优先级过滤
if $syslogseverity-text == 'crit' then /var/log/critical.log
& stop

# 设施过滤
if $facility-text == 'auth' then /var/log/auth.log
& stop

4. 重启服务

修改配置文件后，需要重启syslog服务以使更改生效。

sudo systemctl restart rsyslog
# 或者对于旧版本的syslog
sudo service rsyslog restart

5. 日志轮转

CentOS默认使用logrotate工具来管理日志文件的轮转。

• 查看logrotate配置文件：/etc/logrotate.conf
• 查看特定服务的配置：/etc/logrotate.d/服务名

6. 安全注意事项

• 确保syslog服务器的安全性，避免未授权访问。
• 使用防火墙限制对syslog端口的访问（默认UDP 514）。

7. 高级功能

• 模板化日志：使用template指令定义日志格式。
• 远程日志收集：配置syslog服务器接收来自多个客户端的日志。
• 日志过滤和聚合：使用omfwd模块将日志转发到集中式日志管理系统。

通过以上步骤，你可以根据实际需求定制CentOS系统的syslog规则，实现高效的日志管理和监控。