Linux syslog日志记录规则

Linux syslog日志记录规则主要涉及以下几个方面：

1. 日志级别

Syslog定义了多个日志级别，用于区分不同严重程度的事件。常见的日志级别包括：

• Emergency (0): 系统不可用，立即采取行动。
• Alert (1): 需要立即采取行动的问题。
• Critical (2): 严重错误，系统可能无法继续运行。
• Error (3): 错误条件，但系统仍可运行。
• Warning (4): 警告信息，可能需要关注。
• Notice (5): 正常但重要的信息。
• Informational (6): 一般信息，用于调试。
• Debug (7): 调试信息，最详细的输出。

2. 日志设施

Syslog将日志消息分为不同的设施（facility），每个设施对应系统中的一类组件或服务。常见的设施包括：

• auth: 认证和授权相关消息。
• authpriv: 私有的认证和授权消息。
• cron: 定时任务相关的消息。
• daemon: 后台守护进程的消息。
• kern: 内核消息。
• lpr: 打印机相关消息。
• mail: 邮件系统消息。
• news: 新闻组服务器消息。
• syslog: syslog服务本身的消息。
• user: 用户进程的消息。
• uucp: UUCP系统消息。
• local0 到 local7: 用户自定义的设施。

3. 日志格式

Syslog消息通常遵循以下格式：

<时间戳> <主机名> <设施.级别>: <消息>

例如：

Oct 10 15:30:45 myhost kernel: [12345.678901] init: Received signal 15

• 时间戳: 记录消息的时间。
• 主机名: 发送消息的主机名。
• 设施.级别: 日志消息的设施和级别。
• 消息: 具体的日志信息。

4. 日志记录规则

Syslog的配置文件通常是 /etc/syslog.conf 或 /etc/rsyslog.conf（取决于系统使用的syslog版本）。配置文件中定义了日志消息的处理规则，包括日志文件的路径、日志级别过滤等。

示例配置：

# 将所有authpriv级别的消息记录到/var/log/secure文件中
authpriv.* /var/log/secure

# 将所有kern级别的消息记录到/var/log/kern.log文件中
kern.* /var/log/kern.log

# 将所有local0级别的消息记录到/var/log/local0.log文件中
local0.* /var/log/local0.log

5. 日志轮转

为了防止日志文件过大，syslog通常会配置日志轮转。日志轮转可以通过 logrotate 工具来实现，它会定期压缩、备份和删除旧的日志文件。

示例 logrotate 配置：

/var/log/secure {
    daily
    missingok
    rotate 7
    compress
    notifempty
    create 640 root adm
}

• daily: 每天轮转一次。
• missingok: 如果日志文件不存在，不会报错。
• rotate 7: 保留7个轮转后的日志文件。
• compress: 压缩旧的日志文件。
• notifempty: 如果日志文件为空，不进行轮转。
• create 640 root adm: 创建新的日志文件，权限为640，属主为root，属组为adm。

通过这些规则和配置，Linux syslog能够有效地记录和管理系统日志，帮助管理员监控和排查问题。