[笔记]关于Solaris的syslog机制

发表于:2007-05-26来源:作者:点击数: 标签:
关于Solaris的syslog机制 syslog机制负责发送、记录系统内核及工具所产生的信息,由syslog()调用、syslogd守护进程和配置文件/etc/syslog.conf组成。当系统内核及工具产生信息时,通过调用syslog(),把信息送往syslogd,syslogd再根据/etc/syslog.conf中的配

关于Solaris的syslog机制

syslog机制负责发送、记录系统内核及工具所产生的信息,由syslog()调用、syslogd守护进程和配置文件/etc/syslog.conf组成。当系统内核及工具产生信息时,通过调用syslog(),把信息送往syslogd,syslogd再根据/etc/syslog.conf中的配置要求,将这些信息分别作如下处理:
1.记录到系统日志中;
2.输出到系统控制台上;
3.转发给指定的用户;
4.通过网络转发给其它主机上的syslogd。
通过syslog.conf的配置,我们可以灵活地对信息的发送和保存进行控制。

syslogd进程在系统启动时由/etc/rc2.d/S74syslog启动。如果需要手工启动或停止syslogd,可以使用命令:
# /etc/init.d/syslog start | stop

/etc/syslog.conf文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成,两者间用tab制表符进行分隔。而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成,各保留字段间用分号分隔。

保留字段中的“类型”代表信息产生的源头,可以是:
[color=blue:b03eadbed2]kern[/color:b03eadbed2] 由kernel产生的信息;
[color=blue:b03eadbed2]user[/color:b03eadbed2] 由用户进程产生的信息。对那些由程序或不在此列出的工具产生的信息,其缺省类型都是“user”;
[color=blue:b03eadbed2]mail[/color:b03eadbed2] 邮件系统产生的信息;
[color=blue:b03eadbed2]daemon[/color:b03eadbed2] 系统守护进程的信息,如in.ftpd、telnetd;
[color=blue:b03eadbed2]auth[/color:b03eadbed2] 由login, su, getty等进行身份认证时产生的信息;
[color=blue:b03eadbed2]syslog[/color:b03eadbed2] 由syslogd自己内部产生的信息;
[color=blue:b03eadbed2]lpr[/color:b03eadbed2] 行打印spooling系统的信息;
[color=blue:b03eadbed2]news[/color:b03eadbed2] USENET 网络新闻系统的信息;
[color=blue:b03eadbed2]uucp[/color:b03eadbed2] UUCP系统信息;
[color=blue:b03eadbed2]cron[/color:b03eadbed2] cron和at工具信息;
[color=blue:b03eadbed2]local0-7[/color:b03eadbed2] 保留为local使用;
[color=blue:b03eadbed2]mark[/color:b03eadbed2] syslogd内部产生的时间戳信息;
[color=blue:b03eadbed2]*[/color:b03eadbed2] 除mark之外的所有其它类型(此符号不可用以代表所有级别)。

保留字段中的“级别”代表信息的重要性,可以是:
[color=blue:b03eadbed2]emerg[/color:b03eadbed2] 紧急,处于Panic状态。通常应广播到所有用户;
[color=blue:b03eadbed2]alert[/color:b03eadbed2] 告警,当前状态必须立即进行纠正。例如,系统数据库崩溃;
[color=blue:b03eadbed2]crit[/color:b03eadbed2]  关键状态的警告。例如,硬件故障;
[color=blue:b03eadbed2]err[/color:b03eadbed2]   其它错误;
[color=blue:b03eadbed2]warning[/color:b03eadbed2] 警告;
[color=blue:b03eadbed2]notice[/color:b03eadbed2] 注意;非错误状态的报告,但应特别处理;
[color=blue:b03eadbed2]info[/color:b03eadbed2]  通报信息;
[color=blue:b03eadbed2]debug[/color:b03eadbed2] 调试程序时的信息;
[color=blue:b03eadbed2]none[/color:b03eadbed2] 通常调试程序时用,指示带有none级别的类型产生的信息无需送出。如*.debug;mail.none表示调试时除邮件信息外其它信息都送出。

“动作”域指示信息发送的目的地。可以是:
/filename 日志文件。由绝对路径指出的文件名,此文件必须事先建立;
@host 远程主机;
user1, user2 指定用户。如果指定用户已登录,那么他们将收到信息;
* 所有用户。所有已登录的用户都将收到信息。

我们来看看/etc/syslog.conf文件中的实例:
……
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages
……

这行中的“action”就是我们常关心的那个/var/adm/messages文件,输出到它的信息源头“selector”是:
*.err - 所有的一般错误信息;
kern.debug - 核心产生的调试信息;
daemon.notice - 守护进程的注意信息;
mail.crit - 邮件系统的关键警告信息

于是我们对/var/adm/messages中的东东怎么来的大致清楚一点了。再看下面(不理会那个注释符号“#”):
……
# if a non-loghost machine chooses to have authentication messages
# sent to the loghost machine, un-comment out the following line:
#auth.notice ifdef(‘LOGHOST’, /var/log/authlog, @loghost)
……

这里涉及Solaris下的loghost和m4宏解释器。loghost好理解,就是在局域网内多台SUN机器中指定一台作为loghost,大家的syslogd有水就都往它上面灌。具体谁是loghost在/etc/hosts中定义:
……
192.168.1.11 host1 loghost
192.168.1.22 host2
……

m4负责解释ifdef,它的事迹这里就不去深究了(要考SA的兄弟姐妹们可要去看啊,有题的),反正上面那个ifdef的意思就是:如果本机是loghost,那么信息送到/var/log/authlog中,否则送到@后的主机上。

下面作为一个示例,看看如何使用syslog机制来对telnet登录进行记录。
Telnet和ftp等许多网络服务是通过inetd来提供的。因此先检查一下inetd使用了什么类型和级别的syslog调用:

# man inetd
……
-t Instructs inetd to trace the incoming
connections for all of its TCP services. It does this by
logging the client’s IP address and TCP port number,
along with the name of the service, using the syslog(3)
facility. UDP services can not be traced. When tracing is
enabled, inetd uses the syslog facility code ``daemon’’
and ``notice’’ priority level.
……

就是说,启动带-t选项的inetd,它才会调用syslog来记录TCP服务的细节,类型是daemon,级别是notice。于是先修改inetd的启动脚本/etc/init.d/inetsvc,找到inetd那行,改为:
/usr/sbin/inetd -s -t &

前面看到,daemon.notice已经包括在syslog.conf中,action是/var/adm/messages。如果action不想变,那么就不用做修改了。

重启一下syslogd:
# /etc/init.d/syslog stop
# /etc/init.d/syslog start

重启一下inetd:
# /etc/init.d/inetsvc stop
# /etc/init.d/inetsvc start

试验一下结果。开一个窗口监视有没有新的message来:
# tail -f /var/adm/messages

从另一台机器上telnet或ftp上来。上面的监视窗口中应该有输出(^C 终止监视):
……
Jun 18 12:08:42 host1 inetd[755]: [ID 317013 daemon.notice] ftp[759] from 192.168.1.88 1082
Jun 18 12:09:13 host1 inetd[755]: [ID 317013 daemon.notice] telnet[760] from 192.168.1.88 1083
Jun 18 12:11:22 host1 inetd[755]: [ID 317013 daemon.notice] ftp[771] from 192.168.1.88 1084

对软件开发者来说,可以参考关于syslog()的有关资料,将你的软件中的信息进行适当的syslog()调用,以输出到所希望的地方。

 我是海风 回复于:2004-06-18 17:45:53
建议加精!不错

 吹拂的晨风 回复于:2004-06-18 21:42:49
顶!
看了一下,不错,深入浅出!

 bear 回复于:2004-06-19 16:01:05
很好的文章

 starleaf 回复于:2004-06-22 10:03:36
不错,收藏。

 rainbow 回复于:2004-06-23 11:41:05
真的很清楚哦:) 谢谢!

 metor78 回复于:2004-06-23 13:32:24
288上有专门的介绍呀

 zhangr 回复于:2004-06-23 14:50:27
有没有syslog-ng的安装配置指南阿?

 fwizard 回复于:2004-06-23 15:18:36
不错,没收~~

 fwizard 回复于:2004-06-23 15:38:36
请问楼主,我的终端过一会就会出现下面的信息,我应该怎么做才可以不让它输出这些信息呢?
[code:1:840173d195]
Jun 23 15:20:33 sun inetd[1068]: chargen/tcp: bind: Address already in use
Jun 23 15:20:33 sun inetd[1068]: daytime/tcp: bind: Address already in use
Jun 23 15:20:33 sun inetd[1068]: discard/tcp: bind: Address already in use
Jun 23 15:20:33 sun inetd[1068]: echo/tcp: bind: Address already in use
Jun 23 15:20:33 sun inetd[1068]: time/tcp: bind: Address already in use
Jun 23 15:20:33 sun inetd[1068]: finger/tcp: bind: Address already in use
Jun 23 15:20:33 sun inetd[1068]: uucp/tcp: bind: Address already in use
Jun 23 15:20:33 sun inetd[1068]: exec/tcp: bind: Address already in use
Jun 23 15:20:33 sun last message repeated 1 time
Jun 23 15:20:33 sun inetd[1068]: login/tcp: bind: Address already in use
Jun 23 15:20:33 sun inetd[1068]: shell/tcp: bind: Address already in use
Jun 23 15:20:33 sun last message repeated 1 time
[/code:1:840173d195]

 Philmoon 回复于:2004-06-23 16:02:49
这好象是什么应用上的设置重复对inet中的服务进行设置。要先弄清楚是什么应用进程,才好修改它的配置。如果从syslog机制来考虑,把syslog.conf中的/dev/sysmsg指向别处,可能可以不让信息出现到console,可是从系统管理和安全角度似乎不太好。

 fwizard 回复于:2004-06-23 16:38:57
安全方面的因素,主要是我现在只是在学习,安全可以先放一下,我要经常用到终端的,刚敲各命令,就刷出来一堆信息,很是忙烦的。至于出现的原因,我想主要是我装了proftp后,重起inet的原因吧。我想应该有个控制文件来管理这些信息的输出吧?难道大家没有遇到过吗?

 Philmoon 回复于:2004-06-23 16:59:58
[quote:c86clearcase/" target="_blank" >cc35a5d="fwizard"]……我想主要是我装了proftp后,重起inet的原因吧。我想应该有个控制文件..........[/quote:c86cc35a5d]

注释掉/etc/inet/inetd.conf和/etc/services中原来ftpd的设置。

 iricyan 回复于:2004-07-24 12:02:01
m4的部分还不是很清楚。

原文转自:http://www.ltesting.net