Syslog配置及使用简介.docVIP

Syslog配置及使用简介 目录 Syslog配置及使用简介 1 1. Syslog简介 1 2. Syslog协议 1 2.1. syslog体系结构 1 2.2. syslog包格式 2 3. Syslog配置 3 3.1 概览 3 3.2选择符 3 3.3 动作 4 4. C语言中的syslog 4 4.1 openlog 4 4.2 syslog 4 4.3 closelog 5 4.4 setlogmask 6 4.5例子 6 5. 参考文献 6  Syslog简介 Syslog常被称作系统日志，在80年代作为sendmail的一部分而发布，由于其可用性，现在已成为用来在internet中传递日志信息的事实上的标准。这些传递日志的程序或数据库同时也被称作syslog。Syslog是主从式的协议，syslog发送端发送一些小的文字信息到syslog接收端，接收端根据配置文件把收到的信息进行存储或者处理，或者再次进行转发。 Syslog通常被用作系统信息管理，由于其已在大多数系统上实现，所以它可以把不同类型主机上的信息集中整合到一起。但是它仍然有许多缺陷，表现在下面几个方面：Syslog的传输是通过UDP或者TCP传输，安全性并不可靠。一般可以通过ssl加密壳来完成加密；syslog的实时性不好，只能通过更改配置加以改进。所以syslog主要用在安全性要求不高，实时性不强的地方。 Syslog协议 syslog使用UDP协议作为它的传输层协议，其默认使用UDP端口514。 2.1. syslog体系结构 syslog模糊了发送方、接收方，设备、中继以及收集器的区别，一台设备可以同时是某种日志信息的中继、也可以是另外某种信息的收集器，同时可以作为发送者发送日志： 发送方发送日志信息至某个主机，并不知道这台主机会如何处理这些日志。 发送方可以通过配置，把同一条日志同时发送给多个接收者。 中继可以发送所有或者部分信息给后序接收者，这种情况下它不完全是中继，也是一个收集信息者。 中继可以产生自己的日志信息发送给后序接收者，这种情况下它也是一个产生信息的设备。 2.2. syslog包格式 Syslog包分为3个部分，PRI, HEADER,以及MSG，总长度不能超过1024个字节。 2.2.1 PRI PRI是priority的缩写，它代表了facility以及severity，即代表消息来源以及消息的严重程度。它必须是1、2或者3个十进制字符，用‘’，‘’括起后组成的串，它是由facility以及severity构成，组成的方法是把facility的值乘以8，再加上severity的值。如facility取值local4(20), severiry为warning(4)，那么pri的值为164。 Facility的取值如下表所示： Numerical Code Facility 0 kernel messages 1 user-level messages 2 mail system 3 system daemons 4 security/authorization messages 5 messages generated internally by syslogd 6 line printer subsystem 7 network news subsystem 8 UUCP subsystem 9 clock daemon 10 security/authorization messages 11 FTP daemon 12 NTP subsystem 13 log audit 14 log alert 15 clock daemon (note 2) 16 local use 0 (local0) 17 local