系统日志服务.ppt

2010 02 07 1 1 系统日志服务 2010 02 07 1 2 目标 学习了本单元后 你应该能够 理解日志的用处了解日志所包含的3大组件理解并掌握日志服务配置文件的格式掌握日志的来源 日志的重要程序和怎么处理了解有哪些日志文件 日志文件的格式掌握日志服务器的架设 2010 02 07 1 3 简介 日志是个很过瘾的东西 日志可以让你了解系统发生的每一件事 每一个操作 窥视系统 需要通过日志 RHEL提供了一个名为系统日志 SystemLog 的服务 该服务可以收集 Collect 任何服务传递过来的信息存储成为记录文件 LogFile 或者直接传送给某些用户甚至也可以传送到其他计算机的系统日志服务 2010 02 07 1 4 系统日志服务组件 RHEL的系统日志服务 包含下列3大组件 klogd全名为内核日志服务器 KernelLogDaemon 专门用来采集Linux内核产生的信息 syslogd全名为系统日志服务器 SystemLogDaemon 用来采集用户空间 User Space 中的应用程序或者服务产生的信息 Logger这是一个日志服务的客户端工具 你可以使用这个工具 直接在Shell中传送信息给系统日志服务 2010 02 07 1 5 安装系统日志服务 RHEL的系统日志服务是由sysklogd这个软件包提供的 sysklogd 1 4 1 44 el5 i386 rpm yuminstallsysklogd 2010 02 07 1 6 启动与停止系统日志服务 系统日志服务如果还没有启动的话 就无法帮你处理RHEL产生的所有信息 RHEL的系统日志服务是一个标准系统服务 其启动程序文件名称为syslog 使用service命令启动该服务使用chkconfig命令设置该服务在开机时启动示例 2010 02 07 1 7 示例 2010 02 07 1 8 系统日志服务的配置文件 与其他服务一样 系统日志服务也有自己的配置文件 以便指定系统日志服务该如何处理信息RHEL的系统日志服务配置文件为 etc syslog conf查看该文件内容 cat etc syslog conf vi etc syslog conf该文件中的每一条设置值的语法如下 MESSAGESACTIONMESSAGES用来指出哪些信息ACTION则是告诉系统日志服务该如何处理该信息 2010 02 07 1 9 MESSAGES 先来研究一下MESSAGES这个设置值MESSAGES必须以下列的格式指定信息的种类facility priority信息的来源 信息的优先等级facility代表信息的来源 Source 即信息是从哪个子系统传送过来的目前的系统日志服务共定义下表所示的几项facility 信息来源 2010 02 07 1 10 facility信息的来源 2010 02 07 1 11 priority信息的优先等级 Priority则用来指出信息的优先等级 即信息的重要程度Priority由轻微到严重的顺序如下表所示 2010 02 07 1 12 priority信息的优先等级 2010 02 07 1 13 priority提供的运算符 Priority 代表等于高于priority例如 err相当于err crit alert emerg priority 代表恰好等于priority例如 err就只是err本身 priority 代表除了priority之外的例如 err就是debug info notice warn crit alert emerg除此之外 facility和priority可以使用 代表所有 就表示所有的facility的所有的priority信息 2010 02 07 1 14 ACTION ACTION字段则是用来定义如何处理接收到的信息你可以指定如下几项内容 path filename将信息存储到 path filename文件中注意 如果要系统日志服务把信息存储到文件 则该文件必须以 开头的绝对路径命名username将信息传送给已登录的用户 hostname代表将信息传送到hostname的系统日志服务器 将信息传送给所有已登录的用户 2010 02 07 1 15 例子 cron alert var log cron log将cron传送来的alert信息存储到 var log cron log文件cron emergroot将cron传送来的emerg等级以外的信息转给root阅读 emerg 将来自各种子系统的emerg等级信息传给所有已经登录的用户 logserver将所有信息传送给logserver这台计算机中的系统日志服务器 2010 02 07 1 16 etc syslog conf etc syslog conf是以ACTION作为主键的所以 整个syslog conf中的每一行的ACTION都必须是唯一值也就是说不能有两个相同的ACTION那若需对不同类型的信息 采用同一种ACTION 该怎么设置呢 syslog conf允许使用分号连接多个信息Kern err auth err var log caution log把kern的err等级信息 以及auth的err以上的信息 全部存储到 var log caution log文件中 2010 02 07 1 17 日志文件 根据默认的 etc syslog conf RHEL的系统日志服务会在 var log 中存储所有的记录文件 2010 02 07 1 18 日志的格式 在系统日志服务产生的记录文件中 每一行就是一条信息 每一行包含下列的字段datetimehostnameapp name pid messagesdate 信息发生的日期time 信息发生的时间hostname 信息发生的主机app 产生信息的软件name 软件或者软件组织的名称 可以省略pid 进程标识符 可以省略messages 信息的内容 2010 02 07 1 19 示例 2010 02 07 1 20 集中式的日志服务 如果你负责管理数台的RHEL 那么你得在登录每一台RHEL后才能阅读其中的信息 这样是不是很麻烦 有没有什么更好的方案呢 RHEL的系统日志服务允许你把信息传递到某一台RHEL的系统日志服务中 那你就可以把这一台RHEL作为日志服务器 LogServer 而其他的RHEL则当做日志客户端 LogClient 创建如下图所示的架构 2010 02 07 1 21 集中式的日志服务 2010 02 07 1 22 要如何实现呢 依照下列的步骤操作即可 1 在作为日志客户端的计算机上设置适当的信息传送到日志服务器 需在ACTION字段中指定 LogServer参数LogServer是日志服务器的计算机名称或