syslog,是linux所有子系统的公告消息区。syslog是一个综合日志记录系统,广泛运行在类unix系统上,主要功能是方便日志管理和分类存放日志。
syslog能设置根据输出信息的程序或重要的信息分类存储不同文件。syslog以被动方式工作,它等待设备或程序输入信息,不主动搜集信息。
现在主要的syslog系统有:syslog、syslog-ng、rsyslog。
rsyslog是默认centos6中日志服务。
rsyslog是syslog替代品,rsyslog有一些特点:
- 实现基本syslog协议。
- 兼容syslogd的syslog.conf配置文件。
- 在同一个机器上支持多个rsyslogd进程。
- 丰富的过滤功能,可以将消息过滤后发送。
- 灵活配置。
- 有web展示程序。
守护进程rsyslogd在启动时会读取配置文件,管理员可以通过编辑/etc/rsyslog.conf和/etc/sysconfg/rsyslog配置rsyslog的行为。
/etc/sysconfig/rsyslog文件配置守护进程的运行参数,/etc/rsyslog.conf是rsyslog的主配置文件。
默认日志存储在/var/log/*目录下,只有root权限才能查看日志内容。
比如常见的有boot.log记录系统启动日志,messages一般rsyslog消息日志等。
一般messages文本格式组成:日期和时间,计算机名,消息子系统名,消息内容。
如果查看非文件格式文件内容需要使用lastlog命令,查看某一个用户的登录日志。last查看从第一次登录过的用户记录。who查看wtmp文件内登录的用户信息。
centos提供一个日志回滚工具:LogRotate自动完成压缩、备份、删除工作。