Linux 操作系统日志管理全攻略(3)

 　　4. Syslog设备
　　Syslog已被许多日志函数采纳，它用在许多保护措施中--任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。
　　Syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日之中出现）。
　　每个syslog消息被赋予下面的主要设备之一：
　　LOG_AUTH--认证系统：login、su、getty等
　　LOG_AUTHPRIV--同LOG_AUTH，但只登录到所选择的单个用户可读的文件中
　　LOG_CRON--cron守护进程
　　LOG_DAEMON--其他系统守护进程，如routed LOG_FTP--文件传输协议：ftpd、tftpd
　　LOG_KERN--内核产生的消息
　　LOG_LPR--系统打印机缓冲池：lpr、lpd
　　LOG_MAIL--电子邮件系统
　　LOG_NEWS--网络新闻系统
　　LOG_SYSLOG--由syslogd（8）产生的内部消息
　　LOG_USER--随机用户进程产生的消息
　　LOG_UUCP--UUCP子系统
　　LOG_LOCAL0~LOG_LOCAL7--为本地使用保留
　　Syslog为每个事件赋予几个不同的优先级：
　　LOG_EMERG--紧急情况
　　LOG_ALERT--应该被立即改正的问题，如系统数据库破坏
　　LOG_CRIT--重要情况，如硬盘错误
　　LOG_ERR--错误
　　LOG_WARNING--警告信息
　　LOG_NOTICE--不是错误情况，但是可能需要处理
　　LOG_INFO--情报信息
　　LOG_DEBUG--包含情报的信息，通常旨在调试一个程序时使用
　　syslog.conf文件指明syslogd程序纪录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时，syslogd将纪录一个拥有相同或更高优先级的消息。所以如果指明"crit"，那所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。例如，如果想把所有邮件消息纪录到一个文件中，如下：
　　#Log all the mail