syslog-ng的二、配置说明

发布网友 发布时间：2022-05-15 04:56

我来回答

共1个回答

热心网友 时间：2023-10-09 14:31

syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf syslog-ng的配置基于下面的架构：
引用
LOG STATEMENTS『SOURCES － FILTERS －DESTINATIONS』
消息路径 『消息源 － 过滤器 － 目的站』
也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。 定义格式为：
引用
source { sourcedriver params; sourcedriver params; ... };
含义：
引用
：一个消息源的标识
sourcedriver：消息源驱动器，可以支持若干参数，并使用分号“；”隔离多个消息源驱动器
消息源驱动器有：
引用
file (filename) ： 从指定的文件读取日志信息
unix-dgram (filename) ： 打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息
unix-stream (filename) ： 打开指定的SOCK_STREAM模式的unix套接字，接收日志消息
udp ( (ip),(port) ) ： 在指定的UDP端口接收日志消息
tcp ( (ip),(port) ) ： 在指定的TCP端口接收日志消息
sun-streams (filename) ： 在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息
internal() ： syslog-ng内部产生的消息
pipe(filename),fifo(filename) ： 从指定的管道或者FIFO设备，读取日志信息
例如：
引用
source s_sys {
file (/proc/kmsg log_prefix(kernel: ));
unix-stream (/dev/log);
internal();
# udp(ip(0.0.0.0) port(514)); #如果取消注释，则可以从udp的514端口获取消息
};
※linux使用/dev/log作为SOCK_STREAMunix的套接字，BSD使用/var/run/log；
参数需要使用括号括住。 定义格式为：
引用
filter { expression; };
含义：
引用
：一个过滤器标识
expression：表达式
表达式支持：
引用
逻辑操作符：and（和）、or（或）、not（非）；
函数：可使用正规表达式描述内容
过滤函数有：
引用
facility(,)： 根据facility（设备）选择日志消息，使用逗号分割多个facility
level(,)： 根据level（优先级）选择日志消息，使用逗号分割多个level，或使用“..”表示一个范围
program(regexp)： 日志消息的程序名是否匹配一个正则表达式
host(regexp)： 日志消息的主机名是否和一个正则表达式匹配
match(regexp)： 对日志消息的内容进行正则匹配
filter()： 调用另一条过滤规则并判断它的值
例如：
引用
filter f_filter2 { level(info..emerg) and
not facility(mail,authpriv,cron); };
※这里的level定义info，相当于syslog的.=info，并不包括更低的等级；
若需要包括更低的等级，请使用“..”表示一个等级范围；
另外，filter(DEFAULT)，用于捕获所有没有匹配上的日志消息。filter(*)是无效的。 定义格式为：
引用
destination { destdriver params; destdriver params; ... ;};
含义：
引用
：一个目的地的标识
destdriver ：目的地驱动器
目的地驱动器有：
引用
file (filename) ：把日志消息写入指定的文件
unix-dgram (filename) ：把日志消息写入指定的SOCK_DGRAM模式的unix套接字
unix-stream (filename) ：把日志消息写入指定的SOCK_STREAM模式的unix套接字
udp (ip),(port) ：把日志消息发送到指定的UDP端口
tcp (ip),(port) ：把日志消息发送到指定的TCP端口
usertty(username) ：把日志消息发送到已经登陆的指定用户终端窗口
pipe(filename),fifo(filename) ：把日志消息发送到指定的管道或者FIFO设备
program(parm) ：启动指定的程序，并把日志消息发送到该进程的标准输入
举例：
引用
destination d_mesg { file(/var/log/messages); };
destination d_syslog { udp (192.168.228.225 port(514)); };
※配合使用udp或tcp即可实现集中的日志服务器。注意，udp函数的写法上和消息源驱动器中的定义不同。 定义格式为：
引用
log { source S1; source S2; ... filter F1; filter F2; ... destination
D1; destination D2; ... };
把消息源、过滤器、消息目的组合起来就形成一条完整的指令。日志路径中的成员是顺序执行的。凡是来源于指定的消息源，匹配所有指定的过滤器，并送到指定的地址。
※同样的，每条日志消息都会经过所有的消息路径，并不是匹配后就不再往下执行的，请留意。