Rsyslog 配置文件

---

2015-08-19 by dongnan

举个栗子

忽略 local2 日志

local2.* ~ # haproxy
local2.* 是定义haproxy 的日志, ~ 表示忽略丢弃日志。

配置文件

主配置文件 /etc/rsyslog.conf 配置文件中有很多内容, 但最主要的是指定需要记录哪些服务和需要记录服务什么等级的信息。

语法格式

日志设备[连接符号] 日志级别 日志处理方式(action)

日志设备(可以理解为日志类型):

• auth: pam产生的日志
• authpriv: ssh,ftp等登录信息的验证信息
• cron: 定时任务
• kern: 内核
• lpr: 打印
• mail: 邮件
• mark(syslog): rsyslog服务内部的信息,时间标识
• news: 新闻组
• user: 用户程序产生的相关信息
• uucp: unix to unix copy, unix主机之间相关的通讯
• local 1~7: 自定义的日志设备

日志级别(从上到下，级别从高到低)

• debug: 有调式信息的，日志信息最多
• info: 一般信息的日志，最常用
• notice: 最具有重要性的普通条件的信息
• warning: 警告级别
• err: 错误级别，阻止某个功能或者模块不能正常工作的信息
• crit: 严重级别，阻止整个系统或者整个软件不能正常工作的信息
• alert: 需要立刻修改的信息
• emerg: 内核崩溃等严重信息
• none: 什么都不记录

日志处理方式(将特定的日志做怎样的处理)

记录到普通文件或设备文件

/var/log/file.log   # 将日志记录到文件/var/log/file.log
/dev/pts/0          # 将日志记录在设备/dev/pts/0

转发到远程的日志服务器

@192.168.0.1        # 使用UDP协议转发到192.168.0.1的514(默认)端口
@@192.168.0.1:10514 # 使用TCP协议转发到192.168.0.1的10514端口，
                    # 这是指定非默认端口10514，tcp的默认端口也是514

发送给用户(需要在线才能收到)

root                  # 发给root用户
root,kadefor,up01     # 使用,号分隔多个用户
*                     # *号表示所有在线用户

忽略&丢弃

~                     # 忽略丢弃日志

执行脚本

^/tmp/test.sh # ^号后跟可执行脚本或程序的绝对路径，这个可以用来触发报警动作

参考

内容来自: 日志管理(5) rsyslog服务浅析