?
參考文獻:man syslog syslogd syslog.conf openlog, RFC3164
?
1. 前言
?
syslog是UNIX系統中提供的一種日志記錄方法(RFC3164),syslog本身是一個服務器,程序中凡是使用syslog記錄的信息都會發送到該服務器,服務器根據配置決定此信息是否記錄,是記錄到磁盤文件還是其他地方,這樣使系統內所有應用程序都能以統一的方式記錄日志,為系統日志的統一審計提供了方便。
?
2. 日志格式
?
syslog記錄的日志格式為:
月 日 時:分:秒 主機名 標志 日志內容
?
3. syslog編程
?
為記錄日志,通常用到3個函數,openlog(3),syslog(3)和closelog(3),openlog(3)和closelog(3)不是必須的,沒有openlog(3)的話將用系統缺省的方式記錄日志。
?
????? #include <syslog.h>
????? void openlog( char *ident, int option, int? facility)
????? void syslog( int priority, char *format, ...)
????? void closelog( void )
?
openlog(3)有三個參數,第一個參數是標志字符串,也就是日志中的第5個字段,不設的話缺省取程序名稱;
第二個參數是選項,是下面一些標志位的組合:
?????? LOG_CONS:日志信息在寫給日志服務器的同時打印到終端
?????? LOG_NDELAY:立即記錄日志
?????? LOG_PERROR:把日志信息也輸出到標準錯誤流
?????? LOG_PID:在標志字段中記錄進程的PID值
第三個參數是說明日志類型的,定義了以下類型(各類型啥意思就自己看或猜吧,俺就不多說了):
?????? LOG_AUTH
?????? LOG_AUTHPRIV
?????? LOG_CRON
?????? LOG_DAEMON
?????? LOG_KERN
?????? LOG_LOCAL0 through LOG_LOCAL7
?????? LOG_LPR
?????? LOG_MAIL
?????? LOG_NEWS
?????? LOG_SYSLOG
?????? LOG_USER(default)
?????? LOG_UUCP
?
syslog(3)函數主要的是第一個參數priority,后面那些參數就是和printf(3)函數用法一樣了,priority值表示該條日志的級別,日志級別分8級,由高到低的順序為:
?????? LOG_EMERG
?????? LOG_ALERT
?????? LOG_CRIT
?????? LOG_ERR
?????? LOG_WARNING
?????? LOG_NOTICE
?????? LOG_INFO
?????? LOG_DEBUG
如果openlog(3)時沒有指定facility,是可以把facility的值或到priority中的,如(LOG_AUTH | LOG_INFO),已經設置了就可以不用或了。
?
closelog(3)這個沒啥好說的了,關閉日志記錄。
4. syslog服務器配置
?
syslog服務器的配置文件為/etc/syslog.conf,syslog(3)函數把想記錄的日志信息都發送給日志服務器,但此日志最終是否記錄到文件或發送給遠程服務器,則是由此配置文件來決定的,該配置文件就是告訴日志服務器要記錄那些類型和級別的日志,如何記錄等信息。
?
配置文件是文本文件,每行配置分兩個字段,第一字段是說明要記錄哪類日志,第二字段是說明日志存放位置,可以是本地文件,也可以是遠程服務器。
?
第一字段:
第一字段基本格式是“facility.priority”,可以同時定義多個,中間用逗號“,”或分號“;”分隔。
facility名稱就是上面說的facility值的后半部的小寫,如news, mail,kern, cron等,也可以用“*”表示所有facility類型;
priority名稱就是上面說的priority值的后半部的小寫,如emerg, alert,err, info等,也可以用“*”表示所有priority類型,比此級別高的日志都會自動記錄,用none表示不記錄;
舉例:
kern.* : 所有級別的內核類型日志
mail.err: 錯誤及錯誤級別以上的mail類型日志
如果不記錄某級別的日志,在級別前加“!”,如:
auth.info;auth.!err :info及info級別以上但不包括err級別的auth類型日志
第二字段:
第二字段分兩類,本地文件和遠程服務器
本地文件:直接就是寫本地文件的文件名,如 /var/log/messages。一般來說日志信息會立即寫到文件中,但會降低系統效率,可以在文件名前加減號“-”表示先將信息緩存,到一定量后再一次性寫入文件,這樣可以提高效率;
遠程服務器:格式是
“@address”,“@”表示進行遠程記錄,將日志發送到遠程的日志服務器,日志服務器的端口是UDP514,address可以是IP地址,也可以是域名
?
舉例:
# 將所有級別的內核日志發送到終端
kern.*? /dev/console?
?
# 將所有類型所有級別的日志記錄到/var/log/messages文件
*.* /var/log/messages
?
# 所有info級別以上的信息,不包括mail類型所有級別和authpriv類型的err級別信息,
# 記錄到/var/log/messages文件,不立即寫入
*.info;mail.none;authpriv.!err?????? -/var/log/messages
?
#將所有級別的內核日志發送到遠程syslog服務器
kern.*? @1.1.1.1
?
5. syslog服務器
?
在linux下提供了sysklogd的syslog服務器的實現,可以記錄本機日志也可以接收(syslogd的-r選項)和轉發(syslogd的-h選項)來自外部的日志。
?
sysklogd包括兩個程序,klogd和syslogd,klogd用于接收內核日志,再發送到syslogd,syslogd則可以直接接收應用程序和遠程的日志,syslogd是通過一個域socket(AF_UNIX)來接收數據的,syslog()函數記錄的日志都發送到此域socket,socket文件是/dev/log。
?
syslog(3)函數發送給syslogd服務器的日志信息前都加上了類型和級別信息,具體格式是“<x>”,“x”是一個0~255的數,8位,低3位表示日志級別,所以共8級,高五位表示日志類型,最多32種,不過目前沒用到那么多,可以看看/usr/include/sys/syslog.h中的定義就知道了。
?
要生成日志信息時,syslogd是先生成日志前部信息:月 日 時:分:秒 主機名 標志,再和日志內容信息拼接起來的,日期用ctime(3)函數獲取,隱去了前4個表示星期的字節和后面年的信息,最終生成你所看到的日期格式,老實說那段代碼及其丑陋。
?
6. 結論
?
syslog方便了程序信息的記錄,由于使用了統一的格式記錄使得審計也可以比較方便。要記錄日志,除了在應用程序中用syslog(3)函數記錄外,還要正確配置/etc/syslog.conf文件,使服務器能正確記錄那些想記錄的日志。