Debian Syslog如何实现日志分级

Debian Syslog（通常指的是rsyslog）是一个强大的系统日志处理工具，它允许你根据日志消息的严重程度对其进行分类和优先级排序。以下是如何在Debian Syslog中实现日志分级的步骤：

1. 配置rsyslog

rsyslog使用配置文件来定义日志的处理方式。主要的配置文件是 /etc/rsyslog.conf 和 /etc/rsyslog.d/ 目录下的文件。

编辑配置文件

打开 /etc/rsyslog.conf 文件：

sudo nano /etc/rsyslog.conf

或者编辑 /etc/rsyslog.d/ 目录下的特定配置文件，例如 50-default.conf：

sudo nano /etc/rsyslog.d/50-default.conf

设置日志级别

rsyslog使用数字来表示日志级别，范围从0到23。常见的日志级别包括：

• 0: Emergency（紧急）
• 1: Alert（警报）
• 2: Critcal（严重）
• 3: Error（错误）
• 4: Warning（警告）
• 5: Notice（通知）
• 6: Informational（信息性）
• 7: Debug（调试）

你可以在配置文件中设置默认的日志级别。例如，如果你想只记录错误及以上级别的日志，可以添加以下行：

*.err;auth,authpriv.* /var/log/error.log
& ~

这行配置的意思是：

• *.err：记录所有设施的错误日志。
• auth,authpriv.*：记录认证相关的日志。
• /var/log/error.log：将上述日志写入 /var/log/error.log 文件。
• & ~：停止进一步处理这些日志。

使用条件语句

你也可以使用条件语句来更精细地控制日志记录。例如：

if $programname == 'myapp' then /var/log/myapp.log
& stop

这行配置的意思是：

• 如果日志消息的程序名是 myapp，则将其写入 /var/log/myapp.log 文件。
• & stop：停止进一步处理这些日志。

2. 重启rsyslog服务

修改配置文件后，需要重启rsyslog服务以使更改生效：

sudo systemctl restart rsyslog

3. 验证配置

你可以通过查看日志文件来验证配置是否生效。例如：

tail -f /var/log/error.log

这将实时显示 /var/log/error.log 文件的内容。

4. 使用日志轮转

为了防止日志文件过大，可以使用日志轮转工具 logrotate。Debian系统通常已经预装了 logrotate。

配置logrotate

编辑 /etc/logrotate.d/rsyslog 文件：

sudo nano /etc/logrotate.d/rsyslog

确保配置文件包含以下内容：

/var/log/*.log {
    daily
    missingok
    rotate 7
    compress
    notifempty
    create 0640 root adm
}

这行配置的意思是：

• 每天轮转日志文件。
• 如果日志文件丢失，不会报错。
• 保留最近7天的日志文件。
• 压缩旧的日志文件。
• 如果日志文件为空，不进行轮转。
• 创建新的日志文件，权限为 0640，属主为 root，属组为 adm。

通过以上步骤，你可以在Debian Syslog中实现日志分级，并有效地管理和维护日志文件。