一般来说，系统产生的信息经过 syslog 而记录下来的数据中，每条信息均会记录底下的几个重要数据：

• 事件发生的日期与时间；
• 发生此事件的主机名称；
• 启动此事件的服务名称 (如 samba, xinetd 等) 或函式名称 (如 libpam ..)；
• 该信息的实际数据内容。

当然，这些资讯的『详细度』是可以修改的，而且，这些资讯可以作为系统除错之用呢！ 我们拿登录时一定会记载帐号资讯的 /var/log/secure 为例好了：

[root@www ~]# cat /var/log/secure
1 Mar 14 15:38:00 www atd[18701]: pam_unix(atd:session): session opened for 
  user root by (uid=0)
2 Mar 14 15:38:00 www atd[18701]: pam_unix(atd:session): session closed for
  user root
3 Mar 16 16:01:51 www su: pam_unix(su-l:auth): authentication failure; logn
  ame=vbird uid=500 euid=0 tty=pts/1 ruser=vbird rhost=  user=root
4 Mar 16 16:01:55 www su: pam_unix(su-l:session): session opened for user 
  root by vbird(uid=500)
5 Mar 16 16:02:22 www su: pam_unix(su-l:session): session closed for user root
  |--日期/时间---|-H-|-----服务与相关函数-------|--信息说明------>

我们拿第一笔数据来说明好了，该数据是说：『在三月14日 (Mar 14) 的下午 15:38 分，由 www 这部主机的 atd [PID 为 18701] 传来的消息，这个消息是透过 pam_unix 这个模块所提出的。信息内容为 root (uid=0) 这个帐号已经开启 atd 的活动了。』有够清楚吧！ 那请您自行翻译一下后面的 4 条信息内容是什么喔！

其实还有很多的资讯值得查阅的呢！尤其是 /var/log/messages 的内容。记得一个好的系统管理员， 要常常去『巡视』登录文件的内容喔！尤其是发生底下几种情况时：

• 当你觉得系统似乎不太正常时；
• 某个 daemon 老是无法正常启动时；
• 某个使用者老是无法登陆时；
• 某个 daemon 运行过程老是不顺畅时；

还有很多啦！反正觉得系统不太正常，就得要查询查询登录文件就是了。

Tips: 提供一个鸟哥常做的检查方式。当我老是无法成功的启动某个服务时，我会在最后一次启动该服务后，立即检查登录文件， 先 (1)找到现在时间所登录的资讯『第一栏位』； (2)找到我想要查询的那个服务『第三栏位』， (3)最后再仔细的查阅第四栏位的资讯，来藉以找到错误点。

什么？登录文件还有配置档？喔！不是啦～是 syslogd 这个 daemon 的配置档啦！ 我们现在知道 syslogd 可以负责主机产生的各个资讯的登录，而这些资讯本身是有『严重等级』之分的， 而且，这些数据最终要传送到哪个文件去是可以修改的呢，所以我们才会在一开头的地方讲说， 每个 Linux distributions 放置的登录文件档名可能会有所差异啊！

基本上， syslog 针对各种服务与信息记录在某些文件的配置档就是 /etc/syslog.conf， 这个文件规定了『(1)什么服务 (2)的什么等级信息 (3)需要被记录在哪里(装置或文件)』 这三个咚咚，所以配置的语法会是这样：

服务名称[.=!]信息等级		信息记录的档名或装置或主机
# 底下以 mail 这个服务产生的 info 等级为例：
mail.info			/var/log/maillog_info
# 这一行说明：mail 服务产生的大於等於 info 等级的信息，都记录到 
# /var/log/maillog_info 文件中的意思。

我们将上面的数据简单的分为三部分来说明：

• 服务名称

syslog 本身有规范一些服务，你可以透过这些服务来储存系统的信息。syslog 认识的服务主要有底下这些： (可使用 man 3 syslog 查询到相关的资讯)

上面谈到的都是 syslog 自行制订的服务名称，软件开发商可以透过呼叫上述的服务名称来记录他们的软件。 举例来说， sendmail 与 postfix 及 dovecot 都是与邮件有关的软件，这些软件在设计登录文件记录时，都会主动呼叫 syslogd 内的 mail 服务名称 (LOG_MAIL)，所以上述三个软件 (sendmail, postfix, dovecot) 产生的信息在 syslog 看起来，就会『是 mail 』类型的服务了。我们可以将这个概念绘制如底下的图示来理解：

图 2.2.1、 syslog 所制订的服务名称与软件呼叫的方式

另外，每种服务所产生的数据量其实差异是很大的，举例来说， mail 的登录文件信息多的要命， 每一封信件进入后， mail 至少需要记录『寄信人的资讯；与收信者的信息』等等； 而如果是用来做为工作站主机的，那么登陆者 (利用 login 登录主机处理事情) 的数量一定不少，那个 authpriv 所管辖的内容可就多的要命了。

为了让不同的资讯放置到不同的文件当中，好让我们分门别类的进行登录文件的管理， 所以罗，将各种类别的服务之登录文件，记录在不同的文件里面，就是我们 /etc/syslog.conf 所要作的规范了！

• 信息等级

同一个服务所产生的信息也是有差别的，有启动时仅通知系统而已的一般信息 (information)， 有出现还不至於影响到正常运行的警告信息 (warn) ，还有系统硬件发生严重错误时，所产生的重大问题信息 (error 等等)； 信息到底有多少种严重的等级呢？基本上，syslog 将信息分为七个主要的等级，依序是这样的(由不重要排列到重要信息等级)：

除了这些有等级的信息外，还有两个特殊的等级，那就是 debug(错误侦测等级) 与 none (不需登录等级) 两个，当我们想要作一些错误侦测，或者是忽略掉某些服务的资讯时， 就用这两个咚咚吧！

特别留意一下在信息等级之前还有 [.=!] 的连结符号喔！他代表的意思是这样的：

• . ：代表『比后面还要高的等级 (含该等级) 都被记录下来』的意思，例如： mail.info 代表只要是 mail 的资讯，而且该资讯等级高於 info (含 info 本身)时，就会被记录下来的意思。
• .=：代表所需要的等级就是后面接的等级而已， 其他的不要！
• .!：代表不等於， 亦即是除了该等级外的其他等级都记录。

一般来说，我们比较常使用的是『.』这个连结符号啦！^_^

• 信息记录的档名或装置或主机

再来则是这个信息要放置在哪里的纪录了。通常我们使用的都是记录的文件啦！但是也可以输出到装置呦！ 例如打印机之类的！也可以记录到不同的主机上头去呢！底下就是一些常见的放置处：

• 文件的绝对路径：通常就是放在 /var/log 里头的文件啦！
• 打印机或其他：例如 /dev/lp0 这个打印机装置
• 使用者名称：显示给使用者罗！
• 远程主机：例如 @www.vbird.tsai 当然啦，要对方主机也能支持才行！
• *：代表『目前在线上的所有人』，类似 wall 这个命令的意义！

• syslog.conf 语法练习

基本上，整个 syslog 的配置档就只是这样而已，底下我们来思考一些例题，好让你可以更清楚的知道如何配置 syslogd 啊！

• CentOS 5.x 默认的 syslog.conf 内容

了解语法之后，我们来看一看 syslog 有哪些系统服务已经在记录了呢？就是瞧一瞧 /etc/syslog.conf 这个文件的默认内容罗！ (注意！如果需要将该行做为注解时，那么就加上 # 符号就可以啦)

# 来自 CentOS 5.x 的相关数据
[root@www ~]# vim /etc/syslog.conf
  1 #kern.*                                              /dev/console
  2 *.info;mail.none;news.none;authpriv.none;cron.none   /var/log/messages
  3 authpriv.*                                           /var/log/secure
  4 mail.*                                              -/var/log/maillog
  5 cron.*                                               /var/log/cron
  6 *.emerg                                              *
  7 uucp,news.crit                                       /var/log/spooler
  8 local7.*                                             /var/log/boot.log
  9 news.=crit                                         /var/log/news/news.crit
 10 news.=err                                          /var/log/news/news.err
 11 news.notice                                        /var/log/news/news.notice

上面总共仅有十一行配置值，每一行的意义是这样的：

1. #kern.*：只要是核心产生的信息，全部都送到 console(终端机) 去。console 通常是由外部装置连接到系统而来， 举例来说，很多封闭型主机 (没有键盘、萤幕的系统) 可以透过连接 RS232 连接口将信息传输到外部的系统中， 例如以笔记本计算机连接到封闭主机的 RS232 插口。这个项目通常应该是用在系统出现严重问题而无法使用默认的萤幕观察系统时， 可以透过这个项目来连接取得核心的信息。(注1)
   
   
2. *.info;mail.none;news.none;authpriv.none;cron.none：由於 mail, news, authpriv, cron 等类别产生的信息较多， 且已经写入底下的数个文件中，因此在 /var/log/messages 里面就不记录这些项目。除此之外的其他信息都写入 /var/log/messages 中。这也是为啥我们说这个 messages 文件很重要的缘故！
   
   
3. authpriv.*：认证方面的信息均写入 /var/log/secure 文件；
   
   
4. mail.*：邮件方面的信息则均写入 /var/log/maillog 文件；
   
   
5. cron.*：例行性工作排程均写入 /var/log/cron 文件；
   
   
6. *.emerg：当产生最严重的错误等级时，将该等级的信息以 wall 的方式广播给所有在系统登陆的帐号得知， 要这么做的原因是希望在线的使用者能够赶紧通知系统管理员来处理这么可怕的错误问题。
   
   
7. uucp,news.crit：uucp 是早期 Unix-like 系统进行数据传递的通讯协议，后来常用在新闻群组的用途中。 news 则是新闻群组。当新闻群组方面的资讯有严重错误时就写入 /var/log/spooler 文件中；
   
   
8. local7.*：将本机启动时应该显示到萤幕的信息写入到 /var/log/boot.log 文件中；
   
   
9. 后面的 news.=crit、news.=err、news.notice 则主要在分别记录新闻群组产生的不同等级的信息。

在上面的第四行关於 mail 的记录中，在记录的文件 /var/log/maillog 前面还有个减号『 - 』是干嘛用的？由於邮件所产生的信息比较多，因此我们希望邮件产生的信息先储存在速度较快的内存中 (buffer) ，等到数据量够大了才一次性的将所有数据都填入磁碟内，这样将有助於登录文件的存取性能。 只不过由於信息是缓存在内存内，因此若不正常关机导致登录资讯未回填到登录文件中，可能会造成部分数据的遗失。

此外，每个 Linux distributions 的 syslog.conf 配置差异是颇大的，如果你想要找到相对应的登录资讯时， 可得要查阅一下 /etc/syslog.conf 这个文件才行！否则可能会发生分析到错误的资讯喔！举例来说， 鸟哥有自己写一支分析登录文件的 script，这个 script 是依据 Red Hat 系统默认的登录文件所写的，因此不同的 distributions 想要使用这支程序时，就得要自行设计与修改一下 /etc/syslog.conf 才行喔！否则就可能会分析到错误的资讯罗。 那么如果你有自己的需要而得要修订登录文件时，该如何进行？

• 自行添加登录文件文件功能

如果你有其他的需求，所以需要特殊的文件来帮你记录时，呵呵！别客气，千万给他记录在 /etc/syslog.conf 当中，如此一来，你就可以重复的将许多的资讯记录在不同的文件当中，以方便你的管理呢！ 让我们来作个练习题吧！如果你想要让『所有的资讯』都额外写入到 /var/log/admin.log 这个文件时， 你可以怎么作呢？先自己想一想，并且作一下，再来看看底下的作法啦！

# 1. 先配置好所要创建的文件配置！
[root@www ~]# vim /etc/syslog.conf
# Add by VBird 2009/04/08       <==再次强调，自己修改的时候加入一些说明
*.info      /var/log/admin.log  <==有用的是这行啦！

# 2. 重新启动 syslog 呢！
[root@www ~]# /etc/init.d/syslog restart
[root@www ~]# ll /var/log/admin.log
-rw------- 1 root root 118 Apr  8 13:50 /var/log/admin.log
# 瞧吧！创建了这个登录文件出现罗！

很简单吧！如此一来，所有的资讯都会写入 /var/log/admin.log 里面了！

好了，由上一个小节里面我们知道了 syslog.conf 的配置，也知道了登录文件内容的重要性了， 所以，如果幻想你是一个很厉害的黑客，想利用他人的计算机干坏事，然后又不想留下证据， 你会怎么作？对啦！就是离开的时候将屁股擦干净，将所有可能的信息都给他抹煞掉， 所以第一个动脑筋的地方就是登录文件的清除工作啦～ 如果你的登录文件不见了，那该怎办？

Tips: 哇！鸟哥教人家干坏事……喂！不要乱讲话～俺的意思是，如果改天你发现你的登录文件不翼而飞了， 或者是发现你的登录文件似乎不太对劲的时候，最常发现的就是网友常常会回报说，他的 /var/log 这个目录『不见了！』不要笑！这是真的事情！请记得，『赶快清查你的系统！』

伤脑筋呢！有没有办法防止登录文件被删除？或者是被 root 自己不小心变更呢？有呀！拔掉网络线或电源线就好了……呵呵！ 别担心，基本上，我们可以透过一个隐藏的属性来配置你的登录文件，成为『 只可以添加数据，但是不能被删除 』的状态，那么或许可以达到些许的保护！不过，如果你的 root 帐号被破解了，那么底下的配置还是无法保护的，因为你要记得『 root 是可以在系统上面进行任何事情的 』，因此，请将你的 root 这个帐号的口令配置的安全一些！千万不要轻忽这个问题呢！

Tips: 为什么登录文件还要防止被自己 (root) 不小心所修改过呢？ 鸟哥在教 Linux 的课程时，我的学生常常会举手说：『老师，我的登录文件不能记录资讯了！糟糕！是不是被入侵了啊？』 怪怪！明明是计算机教室的主机，使用的是 Private IP 而且学校计中还有抵挡机制，不可能被攻击吧？ 查询了才知道原来同学很喜欢使用『 :wq 』来离开 vim 的环境，但是 syslog 的登录文件只要『被编辑过』就无法继续记录！ 所以才会导致不能记录的问题。此时你得要 (1)改变使用 vim 的习惯； (2)重新启动 syslog 让他再继续提供服务才行喔！

既然如此，那么我们就来处理一下隐藏属性的东东吧！我们在第七章谈到过 lsattr 与 chattr 这两个东西啦！如果将一个文件以 chattr 配置 i 这个属性时，那么该文件连 root 都不能杀掉！而且也不能新增数据，嗯！真安全！但是，如此一来登录文件的功能岂不是也就消失了？ 因为没有办法写入呀！所以罗，我们要使用的是 a 这个属性！你的登录文件如果配置了这个属性的话，那么 他将只能被添加，而不能被删除！嗯！ 这个项目就非常的符合我们登录文件的需求啦！因此，你可以这样的添加你的登录文件的隐藏属性。

Tips: 请注意，底下的这个 chattr 的配置状态：『仅适合已经对 Linux 系统很有概念的朋友』来配置， 对於新手来说，建议你直接使用系统的默认值就好了，免得到最后登录文件无法写入～ 那就比较糗一点！ @_@

[root@www ~]# chattr +a /var/log/messages
[root@www ~]# lsattr /var/log/messages
-----a------- /var/log/messages

加入了这个属性之后，你的 /var/log/messages 登录文件从此就仅能被添加，而不能被删除，直到 root 以『 chattr -a /var/log/messages 』取消这个 a 的参数之后，才能被删除或移动喔！

虽然，为了你登录文件的资讯安全，这个 chattr 的 +a 旗标可以帮助你维护好这个文件， 不过，如果你的系统已经被取得 root 的权限，而既然 root 可以下达 chattr -a 来取消这个旗标， 所以罗，还是有风险的啦！此外，前面也稍微提到，新手最好还是先不要添加这个旗标， 很容易由於自己的忘记，导致系统的重要信息无法记录呢。

基本上，鸟哥认为，这个旗标最大的用处除了在保护你登录文件的数据外， 他还可以帮助你避免掉不小心写入登录文件的状况喔。要注意的是，当『 你不小心 "手动" 更动过登录文件后，例如那个 /var/log/messages ， 你不小心用 vi 开启他，离开却下达 :wq 的参数，呵呵！那么该文件未来将不会再继续进行登录动作！ 』这个问题真的很常发生！由於你以 vi 储存了登录文件，则 syslogd 会误判为该文件已被更动过， 将导致 syslogd 不再写入该文件新的内容～很伤脑筋的！

要让该登录文件可以继续写入，你只要重新启动 syslog (/etc/init.d/syslog restart) 即可。 不过，总是比较麻烦。所以啊，如果你针对登录文件下达 chattr +a 的参数，嘿嘿！ 未来你就不需要害怕不小心更动到该文件了！因为无法写入嘛！除了可以新增之外～ ^_^

不过，也因为这个 +a 的属性让该文件无法被删除与修改，所以罗，当我们进行登录文件轮替时 (logrotate) ，将会无法移动该登录文件的档名呢！所以会造成很大的困扰。这个困扰虽然可以使用 logrotate 的配置档来解决，但是，还是先将登录文件的 +a 旗标拿掉吧！

[root@www ~]# chattr -a /var/log/messages

我们在之前稍微提到的，在 syslog.conf 文件当中，可以将登录数据传送到打印机或者是远程主机上面去。这样做有什么意义呢？ 如果你将登录资讯直接传送到打印机上面的话，那么万一不小心你的系统被 cracker 所入侵， 他也将你的 /var/log/ 砍掉了，怎么办？没关系啊！反正你已经将重要数据直接以打印机记录起来了， 嘿嘿！他是无法逃开的啦！^_^

再想像一个环境，你的办公室内有十部 Linux 主机，每一部负责一个网络服务， 你为了要了解每部主机的状态，因此，你常常需要登陆这十部主机去查阅你的登录文件～ 哇！光用想的，每天要进入十部主机去查数据，想到就烦～没关系～这个时候我们可以让某一部主机当成 『登录文件服务器』，用他来记录所有的十部 linux 主机的资讯，嘿嘿！这样我就直接进入一部主机就可以了！ 省时又省事，真方便～

那要怎么达到这样的功能呢？很简单啦，我们 CentOS 5.x 默认的 syslog 本身就已经具有这个登录文件服务器的功能了， 只是默认并没有启动该功能而已。你可以透过 man syslogd 去查询一下相关的选项就能够知道啦！ 既然是登录文件服务器，那么我们的 Linux 主机当然会启动一个端口来监听了，那个默认的端口就是 UDP 的 514 喔！

图 2.4.1、登录文件服务器的架构

如上图所示，服务器会启动监听的端口，用户端则将登录文件再转出一份送到服务器去。 而既然是登录文件『服务器』，所以当然有服务器与用户端 (client) 罗！这两者的配置分别是这样的：

# 1. Server 端：修改 syslogd 的启动配置档，通常在 /etc/sysconfig 内！
[root@www ~]# vim /etc/sysconfig/syslog
# 找到底下这一行：
SYSLOGD_OPTIONS="-m 0"
# 改成底下这样子！
SYSLOGD_OPTIONS="-m 0 -r"

# 2. 重新启动与观察 syslogd 喔！
[root@www ~]# /etc/init.d/syslog restart
[root@www ~]# netstat -lunp | grep syslog
Proto Recv-Q Send-Q Local Address  Foreign Address State   PID/Program name
udp        0      0 0.0.0.0:514    0.0.0.0:*               13981/syslogd
# 嘿嘿！你的登录文件主机已经配置妥当罗！很简单吧！

透过这个简单的动作，你的 Linux 主机已经可以接收来自其他主机的登录资讯了！ 当然啦，你必须要知道网络方面的相关基础，这里鸟哥只是先介绍， 未来了解了网络相关资讯后，再回头来这里瞧一瞧先！ ^_^

至於 client 端的配置就简单多了！只要指定某个资讯传送到这部主机即可！ 举例来说，我们的登录文件服务器 IP 为 192.168.1.100 ，而 client 端希望所有的数据都送给主机， 所以，可以在 /etc/syslog.conf 里面新增这样的一行：

[root@www ~]# vim /etc/syslog.conf
*.*       @192.168.1.100

再重新启动 syslog 后，立刻就搞定了！而未来主机上面的登录文件当中，每一行的『主机名称』就会显示来自不同主机的资讯了。 很简单吧！ ^_^。接下来，让我们来谈一谈，那么如何针对登录文件来进行轮转 (rotate) 呢？