#### MODULES #### //模块相关
$ModLoad imuxsock //启用本地日志支持
$ModLoad imklog //启用内核相关日志
$ModLoad immark //对日志打标记
# Provides UDP syslog reception //使用UDP协议接收远端的日志
#$ModLoad imudp //加载udp模块
#$UDPServerRun 514 //服务器监听在514端口
#### GLOBAL DIRECTIVES #### //全局配置部分
# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf //包含/etc/rsyslog.d/目录下所有以.conf结尾的配置文件
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg *
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
服务或者设备.日志的级别 日志记录到哪个文件
local0~local7:自定义的服务名2、配置格式:
服务或者设备.日志的级别 动作
1)服务名称
authpriv(auth):用户授权相关的,认证等 ssh、login、su等
cron:和计划任务相关的服务
mail:和邮件相关的
news:新闻相关的 uucp
kern:和内核相关的
lpr:打印机相关的
syslog:和rsyslogd进程相关的
local0~local7:自定义服务名称
2)日志的级别:级别越高、日志越少
(1)none:不记录日志
(2)debug:调试信息
(3)info:一般的通知信息
(4)notice:提醒信息,比info稍微重要点
(5)warning(warn):警告信息,可能有问题
(6)error):错误信息
(7)critical(crit):比较严重的错误
(8)alert:警报信息,需要立即行动
(9)emerg(panic):紧急(恐慌),系统可能已经不可用了
3)服务名称.日志等级的表示
. —— mail.warning 表示记录mail服务,warning及其以上级别的日志
.= —— mail.=warning 表示记录mail服务warning级别日志
.! —— mail.!warning 表示除了warning级别以外的,其他级别的所有日志都记录
.none —— 表示不记录
小实验
authpriv.* /usr/local/secure //自己规定一个日志文件
标签一:
# tail -0f /usr/local/secure
标签二:
# su - test
$ su - root
Password:
su: incorrect password
看标签一的日志变化。
# tail -0f /usr/local/secure
Aug 3 12:41:47 server150 su: pam_unix(su-l:session): session closed for user test
Aug 3 12:41:51 server150 su: pam_unix(su-l:session): session opened for user test by root(uid=0)
Aug 3 12:41:55 server150 su: pam_unix(su-l:auth): authentication failure; logname=root uid=500 euid=0 tty=pts/5 ruser=test rhost= user=root为了防止别人修改我的日志,如何做?
原文地址:http://blog.51cto.com/13553337/2086243
