centos syslog规则配置

在CentOS系统中，syslog规则的配置主要涉及以下几个方面：

1. syslog配置文件位置

• 主配置文件：/etc/syslog.conf
• 可选配置文件：/etc/rsyslog.conf（rsyslog是syslog的增强版本）

2. 基本配置语法

• facility.priority action
  • facility：日志来源，如auth, daemon, kern, local0等。
  • priority：日志级别，如emerg, alert, crit, err, warning, notice, info, debug。
  • action：日志处理方式，如/var/log/messages, @hostname:port, |command等。

3. 示例配置

使用syslog.conf

# 将authpriv日志发送到远程服务器 authpriv.* @remote_server_ip:514 # 将所有紧急级别的日志记录到/var/log/critical.log *.emerg /var/log/critical.log # 将所有级别的auth日志记录到/var/log/auth.log auth.* /var/log/auth.log # 将所有级别的daemon日志记录到/var/log/daemon.log daemon.* /var/log/daemon.log 

使用rsyslog.conf

# 模块配置 module(load="imuxsock") # 提供对本地系统日志的支持 module(load="imklog") # 提供对内核日志的支持 # 全局规则 $ModLoad imfile # 加载imfile模块以监控文件变化 $InputFileName /var/log/myapp.log $InputFileTag myapp: $InputFileStateFile stat-myapp $InputRunFileMonitor # 规则配置 if $programname == 'myapp' then /var/log/myapp.log & stop # 停止进一步处理 # 优先级过滤 if $syslogseverity-text == 'crit' then /var/log/critical.log & stop # 设施过滤 if $facility-text == 'auth' then /var/log/auth.log & stop 

4. 重启服务

修改配置文件后，需要重启syslog服务以使更改生效。

sudo systemctl restart rsyslog # 或者对于旧版本的syslog sudo service rsyslog restart 

5. 日志轮转

CentOS默认使用logrotate工具来管理日志文件的轮转。

• 查看logrotate配置文件：/etc/logrotate.conf
• 查看特定服务的配置：/etc/logrotate.d/服务名

6. 安全注意事项

• 确保syslog服务器的安全性，避免未授权访问。
• 使用防火墙限制对syslog端口的访问（默认UDP 514）。

7. 高级功能

• 模板化日志：使用template指令定义日志格式。
• 远程日志收集：配置syslog服务器接收来自多个客户端的日志。
• 日志过滤和聚合：使用omfwd模块将日志转发到集中式日志管理系统。

通过以上步骤，你可以根据实际需求定制CentOS系统的syslog规则，实现高效的日志管理和监控。