server 端執行
syslog -r -m 0
-r參數即為remote,此時就開了514的udp port
client端
1.
vi /etc/syslog.conf
kern.* @1.2.3.4
2.
service syslog reload
其它
local1.warn /var/log/test.log
logger -p local1.warn "test message"
log檔說明
/var/log/message
<日期與時間><主機名稱><服務名稱><顯示訊息>
/etc/syslogd.conf 說明
<服務名稱.訊息等級> <存放或顯示地點>
– 服務名稱:例如 mail, http, news, cron, at 等等的服務名稱
– 訊息等級:總共分成下列幾種等級:
info : 提示一些訊息資料;
notice : 注意!需要比較留意的訊息;
waring 或 warn : 警示的訊息,以上三個訊息都還是沒有錯誤的情況,雖然是需要留意,但是還 沒有到錯誤的情況;
err 或 error : 錯誤訊息出現!該要檢驗錯誤的問題發生原因了;
crit : 臨界點了!再不處理可就傷腦筋了!
alert : 錯誤訊息一再地警告警告!將要完蛋了!
emerg 或 panic : 系統已經進入混亂的階段!真的是完蛋了~~
特殊等級 :例如 debug (顯示較多的資訊!)及 none (不要記錄該服務的內容!)等!– 存放或顯示地點:通常我們使用的都是記錄的檔案啦!但是也可以輸出到裝置呦!例如印表機之類的!
檔案的絕對路徑 :通常就是放在 /var/log 裡頭的檔案!
印表機或其他 :例如 /dev/lp0 這個印表機裝置
使用者名稱 :顯示給使用者!
遠端主機 :例如 @test.adsldns.org
例子: 將mail相關的資料給他寫入/var/log/maillog當中
mail.info /var/log/maillog
將新聞群組資料(news)及例行性命令的資訊(cron)
都寫入到一個稱為/var/log/cronnews的檔案中
news.*;cron.* /var/log/cronnews
兩個程序的警告訊息記錄在/var/log/cronnews.warn
以分號來隔開
指定記錄警告訊息『=』這個符號
news.=warn;cron.=warn /var/log/cronnews.warn
messages這個檔案需要記錄所有的資訊,
就是不想要記錄cron,mail及news的資訊,
使用none
*.*;news,cron,mail.none /var/log/messages
# 或
*.*;news.none;cron.none;mail.none /var/log/messages
登錄檔的安全屬性設定
lsattr
chattr
如果將一個檔案以 chattr 設定 immutable (i)
這個屬性時,那麼該檔案連 root 都不能殺掉
所以要使用的是 append only (a) 這個屬性
執行
chattr +a /var/log/messages
lsattr /var/log/messages
—-a——— messages
登錄檔從此就僅能被增加,而不能被刪除,除非 chattr -a
取消
chattr -a /var/log/messages
留言