Linux日誌系統學習！！！

syslogd 的配置文件是/etc/syslog.conf  ，這個配置文件記錄了 什麼服務  在 什麼等級下 須要記錄在哪裏！！！

  服務： 

syslog自己設置了一些服務：syslog自己有一些服務，你能夠經過這些服務來存儲系統的信息

    auth：與認證相關的機制  如ssh login su等

    cron:  與工做調度相關生成信息日誌的地方

    dameon: 與各個daemon有關的信息

   kern:   與內核查收信息的地方

   lpr:  與打印相關的信息

   mail:  與郵件收發有關的信息記錄都屬於這個

   new: 與新聞服務器相關的東西

   syslog: 與syslogd自己程序相關的信息

 上面是syslog自身定製的一些服務，一些軟件開發也能夠調用上述服務來記錄他們的軟件。  好比: sendmail  postfix  dovecot 都是與郵件相關的軟件，這些軟件在設置日誌文件記錄時，都會主動調用syslog的 mail服務，因此這三個軟件 在 syslog看來，就會是mail類型的服務了！！！

  上面各個服務產生的日誌信息量是不同的，爲了每一個服務的不一樣信息記錄到不一樣的文件中，就有

  /etc/syslog.conf規範的了！！！

  信息等級  7個

      info       一些基本的信息

      notice    除了info還須要注意的一些信息

      warn     警示的信息，可能有問題，但不至於影響某個dameon運行信息， info  notice  warn是      告      知一些基本信息，不至於形成一些系統運行困擾

      error   一些重大錯誤信息，某些設置形成服務沒法啓動

      crit     比error還要嚴重的信息，這個錯誤已經很嚴重了

      albert   比crit還要嚴重，警告，已經頗有問題的等級

     emerg(panic)  疼痛等級  指系統已經幾乎要死機的狀態！一般是硬件出現問題致使內核沒法順利運  行，就會出現這樣的等級信息！

    另外還要兩個等級  debu錯誤檢測等級   none 不須要登陸等級

  當咱們想作一些錯誤檢測或忽略掉某些服務的信息時，就用這兩個

 

日誌文件的安全設置：

   做爲系統管理員有時候遇到日誌文件有異常或者/var/log下面的文件被刪除 

  chattr +a  /var/log/message 

  可讓日誌文件只增長 不能刪除 和修改

有時候 vi  vim  /var/log/message 日誌文件 ：wq保存後 就不會被記錄， 由於syslog會誤判該文件已經被改動過，將致使syslogd再也不寫入該文件新的內容

  /etc/init.d/syslog  restart 便可 恢復正常記錄

 因爲+a屬性讓文件沒法被刪除和修改，因此logrotate日誌文件輪替時，將沒法移動改日誌文件的文件名， 能夠在logrotate配置文件中解決 也能夠

  chattr -a  /var/log/message