2023年7月26日发(作者：)

syslogd以及⽂件解读说明1: 的介绍 对于不同类型的Unix，标准UnixLog系统的设置，实际上除了⼀些关键词的不同，系统的格式是相同的。syslog采⽤可配置的、统⼀的系统登记程序，随时从系统各处接受log请求，然后根据/etc/中的预先设定把log信息写⼊相应⽂件中、邮寄给特 定⽤户或者直接以消息的⽅式发往控制台。值得注意的是，为了防⽌⼊侵者修改、删除messages⾥的记录信息，可以采⽤⽤打印机记录或采⽤⽅式来挫败⼊ 侵者的企图。2: 的格式 可以参考man [5] 。这⾥是对的简单介绍。 /etc/⽂件中的⼀项配置记录由“选项”(selector)和“动作”(action)两个部分组成，两者间⽤tab制表符进 ⾏分隔(使⽤空格间隔是⽆效的)。⽽“选项”⼜由⼀个或多个形如“类型.级别”格式的保留字段组合⽽成，各保留字段间⽤分号分隔。如下⾏所⽰： 类型.级别 [；类型.级别] `TAB` 动作2.1 类型

保留字段中的“类型”代表信息产⽣的源头，可以是： auth 认证系统，即询问⽤户名和⼝令 cron 系统定时系统执⾏定时任务时发出的信息 daemon 某些系统的守护程序的syslog,如由产⽣的log kern 内核的syslog信息 lpr 打印机的syslog信息 mail 邮件系统的syslog信息 mark 定时发送消息的时标程序 news 新闻系统的syslog信息 user 本地⽤户应⽤程序的syslog信息 uucp uucp⼦系统的syslog信息 local0..7 种本地类型的syslog信息,这些信息可以⼜⽤户来定义 * 代表以上各种设备2.2 级别 保留字段中的“级别”代表信息的重要性，可以是： emerg 紧急，处于Panic状态。通常应⼴播到所有⽤户；

alert 告警，当前状态必须⽴即进⾏纠正。例如，系统数据库崩溃；

crit 关键状态的警告。例如，硬件故障；

err 其它错误；

warning 警告；

notice 注意；⾮错误状态的报告，但应特别处理；

info 通报信息；

debug 调试程序时的信息；

none 通常调试程序时⽤，指⽰带有none级别的类型产⽣的信息⽆需送出。如*.debug;表⽰调试时除邮件信息外其它信息都送出。2.3 动作 “动作”域指⽰信息发送的⽬的地。可以是：

/filename ⽇志⽂件。由绝对路径指出的⽂件名，此⽂件必须事先建⽴；

@host 远程主机； @符号后⾯可以是ip,也可以是域名，默认在/etc/hosts⽂件下loghost这个别名已经指定给了本机。 user1,user2 指定⽤户。如果指定⽤户已登录，那么他们将收到信息；

* 所有⽤户。所有已登录的⽤户都将收到信息。3: 具体实例 我们来看看/etc/⽂件中的实例：

……

*.err;;; [TAB] /var/adm/messages

…… 这⾏中的“action”就是我们常关⼼的那个/var/adm/messages⽂件，输出到它的信息源头“selector”是：

*.err - 所有的⼀般错误信息；

- 核⼼产⽣的调试信息；

- 守护进程的注意信息；

- 邮件系统的关键警告信息 4：内容⽇志⽂件由系统⽇志和内核⽇志监控程序syslogd 与klogd 控制, 在/etc/ ⽂件中配置这两个监控程序默认活动。⽇志⽂件按/etc/ 配置⽂件中的描述进⾏组织。以下是/etc/ ⽂件的内容：[root@localhost ~]# cat /etc/# Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.* /dev/console# Log anything (except mail) of level info or higher.# Don't log private authentication messages!*.info;;; /var/log/messages# The authpriv file has restricted iv.* /var/log/secure# Log all the mail messages in one .* -/var/log/maillog# Log cron stuffcron.* /var/log/cron# Everybody gets emergency messages*.emerg *# Save news errors of level crit and higher in a special , /var/log/spooler# Save boot messages also to al7.* /var/log/

5.版本Syslog机制是类unix系统中经常使⽤的⼀种⽇志记录⽅式。它能够以多种级别组合记录系统运⾏过程中各类⽇志信息。⽐如内核运⾏信息⽇志，程序运⾏ 输出的⽇志等。在为嵌⼊式系统做开发时，将程序运⾏时的⼀些重要信息写⼊⽇志中，对于程序的调试以及错误诊断帮助是⾮常⼤的。重要信息包括程序运⾏时的重 要变量，函数运⾏结果，错误记录等等。对于嵌⼊式系统⽽⾔，由于系统资源有限，⽽且是交叉开发，调试及诊断及其不便。使⽤syslog机制，可⼤⼤简化这 些⼯作。 并不是所有嵌⼊式系统都可以使⽤syslog。⾸先，系统使⽤类unix操作系统，常⽤的就是linux。其次，为了⽀持远程⽇志记录，系统中必须⽀持⽹络通信。所幸，⽬前⼤部分嵌⼊式系统都是基于linux，并且⽀持⽹络。以下论述具体实现。 在编译busybox时，选择syslog应⽤程序，并将busybox加⼊到linux的⽂件系统中去。嵌⼊式系统启动后，就可以配置syslog的客 户端。根据busybox版本，syslog的服务进程syslogd的配置有所不同。早期的syslogd忽略⽂件内的配置项， 直接使⽤命令参数进⾏配置。新版本的syslogd⽀持使⽤⽂件进⾏配置。可以通过syslogd –h察看帮助信息，以确定当前的syslogd版本。 当不⽀持配置时，直接使⽤命令参数，输⼊以下命令启动syslogd: syslogd -n -m 0 -L -R 192.190.1.88 其中-n选项表⽰进程在前台运⾏。-m选项指定循环间隔时间。-L选项表⽰在进⾏远程⽇志记录的同时，本地也进⾏记录。如果不加该选项，则只进⾏远程⽇志记录。-R表⽰进⾏远程⽇志记录，将syslog⽇志发送到⽬标服务器上。这⾥假定⽬标服务器为的IP地址为192.190.1.88。如果不指定端⼝，默认使⽤UDP端⼝514。所以要确保服务器上该端⼝没⽤被占⽤。启动后，所有的⽇志信息都会发往服务器的UDP端⼝514。

当⽀持配置时，只需修改该配置⽂件即可。在⽂件中增加以下语句：*.* @192.190.1.88以 上配置表⽰将所有syslog的⽇志发往服务器192.190.1.88，使⽤默认的UDP端⼝。由于配置相对⽐较灵活，可以设置 屏蔽⼀些不需要的信息，以及设置指定的端⼝等等。请参考的有关命令，⾃⾏研究。然后启动syslogd即可进⾏远程记录。