续unix日志（转中华技术网）.txt

LINUX下的安装声卡等操作和技巧介绍

作者：studyboy
email: studyboy@21cn.com
日期：2001-7-22 22:09:53
配置文件 

　　 Syslogd工作时，对日志的纪录动作是取决于/etc目录下 syslog.conf这个配置文件，这个配置文件包含着syslogd所需要的工作信息。我们可以先看看作者的一台安装了solaris操作系统的syslog.conf配置文件中的部分内容： 

#syslog.conf 
mail.info /var/log/mailinfo 

auth.alert /var/log/failedlogin 

auth.notice /var/log/sulog 

*.err；kern.notice；auth.notice /dev/console 

*.info；lpr.none /var/log/allexplpr 

*.emerg * 
*.* /zlilog @192.168.2.1 
“如上，@指定的日志主机将会成为攻击的目标，保护这台主机是必要的。因为这样允许接受外来的日志信息将放纵入侵者首先利用数以GB大小计的垃圾先企图填充它的空间。“ 
syslogd –s 标志可以设置为不接受来自远程主机的日志，syslogd –a可以指定可以发送日志的主机地址和端口。 
cron.err root，admin 

　　如上我们看到配置文件是由前面带"#"号的注释及用一个或多个tab键(记住是tab键，不是空格键)分割为两个部分的配置指令组成，带"#"号的行表示注释，syslogd不会去理会，我们需要关注的是配置指令，配置指令的结构如下， 

　　 facility.Level action 

　　我们可以先大体上将上述配置指令结构理解为：何种事件类型及事件级别产生的消息发送到对应的那个文件或者是发送给那个用户等接收点。下面我们具体来解释。 好，我们先来看facility.level这一部分，facility是指纪录何种类型的事件，facility可以记载的事件分类如下： 

LOG_KERN 纪录来自solaris系统内核本身的消息。 
LOG_USER 纪录来自solaris用户进程的消息。 
LOG_MAIL 纪录来自solaris邮件系统进程的消息。 
LOG_DAEMON 纪录来自solaris系统本身提供的进程，如in.telnetd，in.ftpd等的消息。 
LOG_AUTH 纪录来自solaris用户认证进程的消息，如用户登录，su等。 
LOG_LPR 纪录来自solaris打印机系统的消息。 
LOG_CRON 纪录来自solaris的crontab，cron，at等自动运行的进程的消息。 
* 纪录来自solaris所有可能的facility。 
LOG_LOCAL0， LOG_LOCAL1到LOG_LOCAL7 从LOCAL0到LOCAL7被系统保留用来使用，管理员常常可以利用这几个事件纪录特定的或外界的消息，如管理员可以利用它们纪录外在设备，路由器，交换机的消息，或是纪录某些特定程序的消息。比如：常见的unix安全软件tcp_wrapper在安装时就有一个使用何种日志facility的设置。这样在两端都做了设置以后，tcp_wrapper等外在程序或设备就可以单独享用一个日志的事件，生成独有的日志文件了。 
如Tcp_wrapper,在Makefile 中查找FACILITY= LOG_MAIL这几个关键字，Tcp_wrapper的纪录功能就是由这里实现的，系统默认是使用solaris的MAIL精灵来做连接纪录的，但这样会造成Tcp_wrapper的连接纪录和系统的mail日志混杂在一起，不利于管理员分辨。所以建议还是选用一个solaris中未使用的local精灵。我们在这里使用LOCAL3，即FACILITY= LOG_ LOCAL3 ，SEVERITY级别保持INFO级别不变。在读者的机器上可视情况而定用何种精灵。修改后即下面的形式： 

# The LOG_XXX names below are taken from the /usr/include/syslog.h file. 

FACILITY= LOG_LOCAL3 #LOG_MAIL is what most sendmail daemons use 

# The syslog priority at which successful connections are logged。 

SEVERITY= LOG_INFO # LOG_INFO is normally not logged to the console 


接着我们编辑/etc/syslog.conf文件，加入日志纪录功能，在此例中即 


#tcp wrapper log 

local3.info /var/log/tcplog 
-------- 

　　以上为较常用的事件facility，除此以外，还有LOG_NEWS， 纪录来自news系统的消息， LOG_UUCP，保留给UUCP系统，不常用，这里就不介绍了