利用Linux syslog写日记
2011-04-23 19:01
274 查看
这两天,因为项目的需要研究了一把如何利用Linux syslog写日记,这里简单整理一下。本人使用的系统是RHEL 5.5。
System Logging
Linux日记系统由系统日志监控程序syslogd和内核日志监控程序klogd组成。从它们的命名可以看到,这两个监控程序都是守护程序(daemon),且都注册成了系统服务。换句话说,我们可以在目录/etc/init.d/下找到它们对应的执行程序,并通过service命令对它们进行启动,关闭,重启等操作。/etc/syslog.conf文件是Linux日记系统的配置文件。下面是本人/etc/syslog.conf文件内容:
在对这个配置文件进行详细的解释之前,我们先看一下在Linux C编程中如何利用syslog进行日记。
syslog APIs
Linux C中提供一套系统日记写入接口,包括三个函数:openlog,syslog和closelog。下面是这三个函数的调用格式:
其中openlog和closelog都是可选的。不过,通过调用openlog,我们可以指定ident参数。这样,ident将被加到每条日记记录中。ident一般设成程序的名字,如在下面例子中的"testsyslog":
编译生成可执行文件后,每运行一次,程序将往/var/log/messages添加一条如下的记录:
格式基本是:timestamp hostname ident[pid]:log message。其中ident就是我们调用openlog是指定的"testsyslog",而之所以会打印出[27214]是openlog的option参数中指定了LOG_PID。下面我们详细讨论openlog函数中的option,facility和syslog函数中的priority参数。
根据/usr/include/sys/syslog.h文件,我们可以看到syslog支持的option如下:
我们可以通过与操作结合这些option。syslog支持的faclility如下:
facility的ID(上面对应的数值)与名字的对应关系如下:
这个对应关系作用是是将syslog系统调用中facility ID和syslog.conf文件中的配置选项对应起来。后面将详细讲解。facility的作用是指明调用syslog应用的类型。syslog支持的priority如下:
priority的ID(上面对应的数值)与名字的对应关系如下:
这个对应关系的作用和facility情况是相同的,都是为了与syslog.conf文件中的配置选项对应起来。priority的作用是指明日记记录的优先级,也可以理解成记录时间的严重程度。在实际使用中,syslog函数中的priority参数实际上是前面提到的facility和priority的组合,通过与操作。
回到前面提到的syslog.conf文件和testsyslog的程序,根据前面的分析,我们来研究一下为什么testsyslog会将日记记录写到文件/var/log/messages中,而不是别的文件。
syslog.conf文件行的基本语法是这样的:
[消息类型(规则)] [处理方案(日记文件)]
这里需要注意的是,两者之间必须用一个或者多个Tab字符分开。消息类型是由”消息来源“(facility)和”紧急程度“(priority)构成,中间点号连接。如前面syslog.conf文件中的news.crit表示来自news的”关键“状况。这里,news表示消息来源,crit表示关键状况。通配符*表示一切消息来源,如第一条规则:*.info,将info级以上(notice,warning, err, alert, emerg)(priority表)的所有消息发送到日记文件/var/log/messages。而testsyslog程序中,调用syslog函数时指定的priority是LOG_USER | LOG_INFO,根据上面提到的ID和名字对应的关系,对应的消息类型规则是user.info,包含在规则*.info中,所以日记记录会写到/var/log/messages。
修改syslog.conf文件
一般来说,我们希望能够为自己的应用程序指定特定的日记文件。这时候,我们就需要修改syslog.conf文件。假设我们现在要把调试(debug)日记记录写到文件/var/log/debug文件中。第一步要做的是,在syslog.conf文件添加如下消息规则作为第一条规则:
要是添加的新规则生效,第二步我们需要重启syslogd和klogd:service syslog restart
为了测试新规则是否生效,我们可以将testsyslog修改如下:
编译生成执行文件后,每运行一次,/var/log/debug文件都会增加一条新的记录。
System Logging
Linux日记系统由系统日志监控程序syslogd和内核日志监控程序klogd组成。从它们的命名可以看到,这两个监控程序都是守护程序(daemon),且都注册成了系统服务。换句话说,我们可以在目录/etc/init.d/下找到它们对应的执行程序,并通过service命令对它们进行启动,关闭,重启等操作。/etc/syslog.conf文件是Linux日记系统的配置文件。下面是本人/etc/syslog.conf文件内容:
# Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log
在对这个配置文件进行详细的解释之前,我们先看一下在Linux C编程中如何利用syslog进行日记。
syslog APIs
Linux C中提供一套系统日记写入接口,包括三个函数:openlog,syslog和closelog。下面是这三个函数的调用格式:
]#include <syslog.h> void openlog(char *ident, int option, int facility); void syslog(int priority, char *format, ...); void closelog();
其中openlog和closelog都是可选的。不过,通过调用openlog,我们可以指定ident参数。这样,ident将被加到每条日记记录中。ident一般设成程序的名字,如在下面例子中的"testsyslog":
]#include <syslog.h> int main(int argc, char *argv[]) { openlog("testsyslog", LOG_CONS | LOG_PID, 0); syslog(LOG_USER | LOG_INFO, "syslog test message generated in program %s /n", argv[0]); closelog(); return 0; }
编译生成可执行文件后,每运行一次,程序将往/var/log/messages添加一条如下的记录:
Apr 23 17:15:15 lirong-920181 testsyslog[27214]: syslog test message generated in program ./a.out
格式基本是:timestamp hostname ident[pid]:log message。其中ident就是我们调用openlog是指定的"testsyslog",而之所以会打印出[27214]是openlog的option参数中指定了LOG_PID。下面我们详细讨论openlog函数中的option,facility和syslog函数中的priority参数。
根据/usr/include/sys/syslog.h文件,我们可以看到syslog支持的option如下:
/* * Option flags for openlog. * * LOG_ODELAY no longer does anything. * LOG_NDELAY is the inverse of what it used to be. */ #define LOG_PID 0x01 /* log the pid with each message */ #define LOG_CONS 0x02 /* log on the console if errors in sending */ #define LOG_ODELAY 0x04 /* delay open until first syslog() (default) */ #define LOG_NDELAY 0x08 /* don't delay open */ #define LOG_NOWAIT 0x10 /* don't wait for console forks: DEPRECATED */ #define LOG_PERROR 0x20 /* log to stderr as well */
我们可以通过与操作结合这些option。syslog支持的faclility如下:
/* facility codes */ #define LOG_KERN (0<<3) /* kernel messages */ #define LOG_USER (1<<3) /* random user-level messages */ #define LOG_MAIL (2<<3) /* mail system */ #define LOG_DAEMON (3<<3) /* system daemons */ #define LOG_AUTH (4<<3) /* security/authorization messages */ #define LOG_SYSLOG (5<<3) /* messages generated internally by syslogd */ #define LOG_LPR (6<<3) /* line printer subsystem */ #define LOG_NEWS (7<<3) /* network news subsystem */ #define LOG_UUCP (8<<3) /* UUCP subsystem */ #define LOG_CRON (9<<3) /* clock daemon */ #define LOG_AUTHPRIV (10<<3) /* security/authorization messages (private) */ #define LOG_FTP (11<<3) /* ftp daemon */
facility的ID(上面对应的数值)与名字的对应关系如下:
{ "auth", LOG_AUTH }, { "authpriv", LOG_AUTHPRIV }, { "cron", LOG_CRON }, { "daemon", LOG_DAEMON }, { "ftp", LOG_FTP }, { "kern", LOG_KERN }, { "lpr", LOG_LPR }, { "mail", LOG_MAIL }, { "mark", INTERNAL_MARK }, /* INTERNAL */ { "news", LOG_NEWS }, { "security", LOG_AUTH }, /* DEPRECATED */ { "syslog", LOG_SYSLOG }, { "user", LOG_USER }, { "uucp", LOG_UUCP },
这个对应关系作用是是将syslog系统调用中facility ID和syslog.conf文件中的配置选项对应起来。后面将详细讲解。facility的作用是指明调用syslog应用的类型。syslog支持的priority如下:
#define LOG_EMERG 0 /* system is unusable */ #define LOG_ALERT 1 /* action must be taken immediately */ #define LOG_CRIT 2 /* critical conditions */ #define LOG_ERR 3 /* error conditions */ #define LOG_WARNING 4 /* warning conditions */ #define LOG_NOTICE 5 /* normal but significant condition */ #define LOG_INFO 6 /* informational */ #define LOG_DEBUG 7 /* debug-level messages */
priority的ID(上面对应的数值)与名字的对应关系如下:
{ "alert", LOG_ALERT }, { "crit", LOG_CRIT }, { "debug", LOG_DEBUG }, { "emerg", LOG_EMERG }, { "err", LOG_ERR }, { "error", LOG_ERR }, /* DEPRECATED */ { "info", LOG_INFO }, { "none", INTERNAL_NOPRI }, /* INTERNAL */ { "notice", LOG_NOTICE }, { "panic", LOG_EMERG }, /* DEPRECATED */ { "warn", LOG_WARNING }, /* DEPRECATED */ { "warning", LOG_WARNING },
这个对应关系的作用和facility情况是相同的,都是为了与syslog.conf文件中的配置选项对应起来。priority的作用是指明日记记录的优先级,也可以理解成记录时间的严重程度。在实际使用中,syslog函数中的priority参数实际上是前面提到的facility和priority的组合,通过与操作。
回到前面提到的syslog.conf文件和testsyslog的程序,根据前面的分析,我们来研究一下为什么testsyslog会将日记记录写到文件/var/log/messages中,而不是别的文件。
syslog.conf文件行的基本语法是这样的:
[消息类型(规则)] [处理方案(日记文件)]
这里需要注意的是,两者之间必须用一个或者多个Tab字符分开。消息类型是由”消息来源“(facility)和”紧急程度“(priority)构成,中间点号连接。如前面syslog.conf文件中的news.crit表示来自news的”关键“状况。这里,news表示消息来源,crit表示关键状况。通配符*表示一切消息来源,如第一条规则:*.info,将info级以上(notice,warning, err, alert, emerg)(priority表)的所有消息发送到日记文件/var/log/messages。而testsyslog程序中,调用syslog函数时指定的priority是LOG_USER | LOG_INFO,根据上面提到的ID和名字对应的关系,对应的消息类型规则是user.info,包含在规则*.info中,所以日记记录会写到/var/log/messages。
修改syslog.conf文件
一般来说,我们希望能够为自己的应用程序指定特定的日记文件。这时候,我们就需要修改syslog.conf文件。假设我们现在要把调试(debug)日记记录写到文件/var/log/debug文件中。第一步要做的是,在syslog.conf文件添加如下消息规则作为第一条规则:
user.debug /var/log/debug
要是添加的新规则生效,第二步我们需要重启syslogd和klogd:service syslog restart
为了测试新规则是否生效,我们可以将testsyslog修改如下:
]#include <syslog.h> int main(int argc, char *argv[]) { openlog("testsyslog", LOG_CONS | LOG_PID, 0); syslog(LOG_USER | LOG_DEBUG, "syslog test message generated in program %s /n", argv[0]); closelog(); return 0; }
编译生成执行文件后,每运行一次,/var/log/debug文件都会增加一条新的记录。
相关文章推荐
- 利用Linux syslog写日记
- 利用Linux syslog写日记
- Linux下利用backtrace追踪函数调用堆栈以及定位段错误
- 利用pxe实现无人安装linux
- 利用WampServer服务来搭建Linux系统安装环境
- 利用shell脚本来监控linux系统的负载与CPU占用情况
- [运维日记]linux系统io 高的问题
- linux中利用iptables+geoip过滤指定IP
- 利用lynis如何进行linux漏洞扫描详解
- 【原创】-- Linux 下利用dnw进行USB下载
- 利用大文件制作在linux下数个独立系统(不改变原有分区情况下继续分区)
- 利用Linux的强大移植性和兼容性将操作系统轻松安装到硬盘
- linux下的日记软件 rednotebook
- linux下利用curl监控网页shell脚本
- 利用Linux内核编译输出信息构建内核源码树
- linux下利用mentohust校园拨号上网小记
- 关于linux下C++中利用socket时的数据类型转换错误
- 利用Crontab为Linux定时备份Mysql数据库
- Linux与安卓手机利用FTP互连
- 利用Linux的硬连接删除MySQL大文件