Linux日志系统分析:rsyslog、syslog和klog

时间:2022-05-27 03:32:50

参考博客:

 https://blog.csdn.net/lidonghat/article/details/55004280

 https://blog.csdn.net/u012247418/article/details/83684052

1.syslog是 Unix 系统的一个常见组件,用于执行系统日志记录活动。
2.syslogd 是它的守护进程,syslogd 从一组日志源(如 /dev/log 和 /dev/klog )中读取数据,并按照 /etc/syslog.conf 中的说明处理这些日志消息。通过调用syslog(),可将应用程序日志消息记录到 syslog 中。syslog 消息采用一种包含可选优先级和设备的标准格式。优先级指示消息的紧急程度,设备指示发布消息的子系统。/usr/include/syslog.h中定义了它的优先级和设备资源。
3.klog是一个从Unix内核接受消息的设备,klogd 守护进程获得并记录 Linux 内核信息。通常,syslogd 会记录 klogd 传来的所有内核信息。
Linux日志系统分析:rsyslog、syslog和klog

Linux日志系统分析:rsyslog、syslog和klog

kernel---> 物理终端(/dev/console) --> /var/log/message  命令dmesg  就是控制台输出/var/log/message日志信息

/sbin/init

  /var/log/message: 系统标准错误日志信息;非内核产生引导信息,各子系统产生的信息;

  /var/log/maillog: 邮件系统产生的日志信息;

  /var/log/secure:  系统登录日志信息

----------------------

syslogd是Linux下的一个记录日志文件服务。从结构来说,可以理解为这个服务下面有一系列的子服务,例如mail、auth、cron、kern等等,这些子服务对外提供日志记录的功能,而当其它的程序或服务需要记录日志的时候,就可以直接调用这些子服务将日志记录到设定的地方。而配置这整个守护进程以及其子服务的地方就是/etc/syslog.conf这个文件。

而目前不少的Linux发行版已经用rsyslogd将syslogd代替了。rsyslogd是syslogd的升级版,其配置语法与syslogd的配置文件一致。ubuntu-gnome-16.04使用的是rsyslogd。

注:

在用户空间有专门用于记录系统日志的程序,统称为“syslog守护进程”。早期及现在的大部分嵌入式系统使用的是klogd+syslogd组合,现在大多数发行版都使用rsyslogd或者syslogd-ng。

如果需要修改系统日志配置,修改以下两个文件。

1)/etc/rsyslog.conf

2)/etc/rsyslog.d/50-default.conf 日志文件的记录规则和路径

操作:

sudo service rsyslog restart

sudo service rsyslog stop

sudo service rsyslog start

2. 查看linux日志的三种途径:

1)dmesg

printk()打印的日志会写到kernel ring buffer(环缓冲区)中,dmesg是从kernel ring buffer中读取内核日志信息;效果等同于cat /var/log/message

2)/var/log/

系统所有日志(包括用户日志和系统内核日志)均记录在/var/log/目录下。

rsyslogd守护进程根据/etc/rsyslog.conf和/etc/rsyslog.d/XXXXX.conf,将不同的服务产生的log记录到不同的文件中。

3)/proc/kmsg

通过读取/proc/kmsg也可以得到ring buffer(环缓冲区)的日志,但是对/proc/kmsg进行读操作后,ring buffer中被读取的数据将被清空。

注:如果启用了rsyslogd服务,则不能读取/proc/kmsg 文件(文件为空),同一时间只能用一种方法来获取日志文件。

3. 日志记录的接口:

1)内核空间:printk()

可以使用dmesg命令来查看,使用printk()打印的日志同时也会记录在/var/log/kern.log和/var/log/syslog。当然也可以关闭rsyslogd服务,通过读取/proc/kmsg来查看。

2)用户空间:syslog()函数和logger(logger可在命令行中直接执行)

void syslog(int priority, char*format,……);

打印的日志记录在 /var/log/syslog文件中。

注:据自己理解,syslog()打印的日志不会写到kernel ring buffer,只有printk才会写入kernel ring buffer。

4. 自定义日志记录路径

4.1 修改/etc/rsyslog.d/50-default.conf

在文件最后添加如下一行:

local0.* /var/log/my_logfile0

注:local0—local7均可

-----------------------------

解读文件:/etc/syslog.conf或者rsyslog.conf

配置文件定义格式为:facility.priority   action

facility ,可以理解为日志的来源或设备目前常用的

  auth    # 认证相关的

  authpriv   #权限,授权相关的

  cron    #任务计划相关的

  daemon  #守护进程相关的

  kern    #内核相关的

  lpr     #打印相关的

  mail    #邮件相关的

  mark    #标记相关的

  news    #新闻相关的

  security    #安全相关的,与auth类似

  user    #用户相关的

  uucp      #unix to unix cp 相关的

  local0-local7  #用户自定义

  *        # *表示所有类型

priority (log level) 日志级别从低到高

  debug       #程序或者系统调试信息

  info      #一般信息

  notice     #不影响正常功能,需要注意的信息

  warning/warn   #可能影响系统功能,需要提醒用户的重要事件

  err/error    #错误信息

  crit       # 比较严重的

  alert      #必须马上处理的,警告

  emerg/oanic     # 会导致系统不可用的

  *          # 所有日志级别

  none      # 跟 * 相反表示什么都没有

 action (动作) 日志记录位置

  系统上的绝对路径    #普通文件 如:/var/log/xxxx

  |             # 管道,发送给其他命令处理,数据进一步加工

  终端          # 终端   如  /dev/console

  @HOST         # 远程主机 如:@192.168.101.122 也可以后面更上该机器的对应路径 ,  @192.168.101.122:/var/log/xxxxx

  用户          # 系统用户,发送给此用户处理,按照此用户的日志来记录

  *            #登录到系统上的所有用户,一般emerg级别日志就是这样处理的

三种方式:unix域套接字、udp端口514以及特殊的设备/dev/klog  

大多数出现调用syslog向/dev/log这个套接字发送日记消息。

Device:发送syslog的设备

Relay:转发syslog的设备(Relay可能只是转发部分接收到的syslog消息,它同时表现为Relay和Collector)

Collector:接收syslog的设备

syslog消息的udp报文不能超过1024字节。

完整的syslog日志中包含日记的程序模块(Facility)、严重性(Severity | Level)、时间、主机名或ip、进程名、进程id和正文

完整的syslog消息由3部分组成,分别是PRI、HEADER和MSG(<30>Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting.),PRI:<30>。HEADER:Oct9...hlfedora。

PRI部分是由程序模块(Facility)<<3 | 严重性(Severity)组成:换句话说 Facility可以有32种,Severity可以有8种。

Numerical        Facility  #日志类型
         Code
          0             kernel messages                  #内核信息
          1             user-level messages               #用户级别信息
          2             mail system                   #邮件系统
          3             system daemons                #系统信息
          4             security/authorization messages (note 1)       #安全认证信息(标注1)
          5             messages generated internally by syslogd     #由syslogd内部生成的消息
          6             line printer subsystem              #行式打印机子系统
          7             network news subsystem              #网络信息子系统
          8             UUCP subsystem                #UUCP子系统
          9             clock daemon (note 2)              #时钟守护进程(标注2)
         10             security/authorization messages (note 1)       #安全认证信息(标注2)
         11             FTP daemon                  #FTP守护进程
         12             NTP subsystem                  #NTP时钟同步子系统
         13             log audit (note 1)                #日志认证(标注1)
         14             log alert (note 1)                 #日志告警(标注1)
         15             clock daemon (note 2)              #时钟守护进程(标注2)
         16             local use 0  (local0)               #用户自定义日志来源标签
         17             local use 1  (local1)
         18             local use 2  (local2)
         19             local use 3  (local3)
         20             local use 4  (local4)
         21             local use 5  (local5)
         22             local use 6  (local6)
         23             local use 7  (local7)

Numerical         Severity  #日志级别
        Code
         0         Emergency: system is unusable
         1         Alert: action must be taken immediately
         2         Critical: critical conditions
         3         Error: error conditions
         4         Warning: warning conditions
         5         Notice: normal but significant condition
         6         Informational: informational messages
         7         Debug: debug-level messages

HEADER部分包括两个字段:时间和主机名

MSG部分分为两个部分:TAG和Content;TAG包含程序名称和进程PID,TAG后面用一个冒号隔开Content部分

RFC3195:用tcp代替udp,进行可靠的syslog消息

//将info或更高级别的消息送到/var/log/messages,除了mail以外。

//其中*是通配符,代表任何设备;none表示不对任何级别的信息进行记录。

*.info;mail.none;authpriv.none /var/log/messages

//将authpirv设备的任何级别的信息记录到/var/log/secure文件中,这主要是一些和认、权限使用相关的信息。

authpriv.* /var/log/secure

//将mail设备中的任何级别的信息记录到/var/log/maillog文件中,这主要是和电子邮件相关的信息。

mail.* /var/log/maillog

//将cron设备中的任何级别的信息记录到/var/log/cron文件中,这主要是和系统中定期执行的任务相关的信息。

cron.* /var/log/cron

//将任何设备的emerg级别的信息发送给所有正在系统上的用户。

*.emerg *

//将uucp和news设备的crit级别的信息记录到/var/log/spooler文件中。

uucp,news.crit /var/log/spooler

//将和系统启动相关的信息记录到/var/log/boot.log文件中。

local7.* /var/log/boot.log

---------------------------------------

基本语法格式

类型.级别[;类型.级别]  动作

news.=crit  /var/log/news.crit

‘=’特殊符号,如果存在说明只有本Severity的消息才进行处理,如果不存在则处理本Severity及其以下级别的消息

‘;'表示&&、'!'表示取反、’*'表示所有

 # Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console # Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access.
authpriv.* /var/log/secure # Log all the mail messages in one place.
mail.* -/var/log/maillog ## '-'分号代表是异步写入,非实时写入 # Log cron stuff
cron.* /var/log/cron # Everybody gets emergency messages
*.emerg * # Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler # Save boot messages also to boot.log
local7.* /var/log/boot.log

动作:表示信息发送的目的地

  可以是日记文件(绝对路径),如果文件名前面加上减号表示不将日志信息同步刷新到磁盘上(使用写入缓存),这样可以提高日志写入性能,但是增加了系统崩溃后丢失日志的风险

  可以是远程主机(@host,host可以是ip或域名,默认在/etc/hosts文件下loghost这个别名已经指定给本机)

  可以是指定用户(user1,user2),如果指定用户已登入,那么他们将收到消息

客户端有两种方式开发:

   完全基于协议从底层开发,也就是直接写unix域套接字或者向UDP514发送定制消息

   基于库函数供上层应用使用

==================================================================================================

注意:

  一般随着时间的推移系统日志会越来越大,占用磁盘空间,增加内存和磁盘消耗,所以引出了进程logroate来进行日志按照自动一大小分割和保留规定时间日志,滚动覆盖历史日志

logrotate:日志文件会随着日志的增加而不断增大,从而带来效率的问题和空间使用问题,在常年运行的服务器上面,通常会有logrotate程序定期进行日志文件的轮替和删除工作。

配置文件/etc/logroate.conf 来定义不同的功能日志配置信息,里面可以定义日志的存储时间周期,日志分割文件大小,个数等;统一都放在/etc/logroate.d/目录下

Linux日志系统分析:rsyslog、syslog和klog

# see "man logrotate" for details
# rotate log files weekly
weekly                        #周期 # keep weeks worth of backlogs
rotate 4                       #文件个数  # create new (empty) log files after rotating old ones
create                        #新文件创造动作 # uncomment this if you want your log files compressed
#compress # RPM packages drop log rotation information into this directory
include /etc/logrotate.d              #存放目录 # no packages own wtmp -- we'll rotate them here
/var/log/wtmp {                     #这里定义每个不同功能日志时,除了上面的默认属性,
                              #如果自身未定义优先去查找自身定义的,如果没有才会用默认定义的,优先使用自身定义的
monthly
minsize 1M                      #最小大小
create root utmp                #以默写用户创建,给予文件权限 
rotate
} /var/log/btmp {
missingok
monthly
minsize 1M
create root utmp
rotate
} # system-specific logs may be also be configured here.