在centos上,syslog其实是rsyslog,对应的配置文件为/etc/rsyslog.conf,守护进程为:/etc/rsyslog.d
-----------------------------------------------
ref: http://www.linuxquestions.org/questions/linux-security-4/what-is-local0-through-local7-310637/
another thing is that :
local0-local7 are local facilities defined by the user, to log specific deamons
for example:
you can change the sshd_config file ( which is the configuration file of the sshd deamon )
from
Syslogfacility authpriv
to
Syslogfacility local7
and add the following line in the /etc/rsyslog.conf file
local7.* /var/log/sshd.log
after restarting rsyslogd and sshd, any ssh sessions to the server will be logged in the /var/log/sshd.log file
----------------------------------
unix类系统提供了系统范围的日志服务支持:syslogd。Syslogd启动时读配置文件/etc/syslog.conf。syslog.conf的每一行(#开头的为注释,将被忽略)由“选择符 动作”组成(selector action)。
选择符的形式为“设施.优先级”(facility.priority)。设施和优先级的名字都是系统提供的标准名字。
设施(facility):
kern 0 内核日志消息
user 1 随机的用户日志消息
mail 2 邮件系统日志消息
daemon 3 系统守护进程日志消息
auth 4 安全管理日志消息
syslog 5 syslogd本身的日志消息
lpr 6 打印机日志消息
news 7 新闻服务日志消息
uucp 8 UUCP系统日志消息
cron 9 系统始终守护进程crond的日志消息
authpriv 10 私有的安全管理日志消息
ftp 11 ftp守护进程日志消息
12~15 保留为系统使用
local0~local7 16~23保留为本地使用
优先级(priority),优先级越低情况越严重:
emerg 0 系统不可用
alert 1 必须马上采取行动的事件
crit 2 关键的事件
err 3 错误事件
warning 4 警告事件
notice 5 普通但重要的事件
info 6 有用的信息
debug 7 调试信息
可以用*表示任何设施(句点前的*)或任何优先级(句点后的*)。指定一个优先级的意思为大于等于该优先级的日志消息。可以用none表示不包括任何优先级。
Linux对bsd的syslog做了一些扩展,引入了’=’和’!’。可以在任何一个优先级前用’=’,表示仅仅针对该优先级而不包括大于它的优先级。’!’表示求反,可以放在优先级或’=’前面(如果有的话),表示和原来相反的意思。
具有相同优先级的几个设施可以一起写在句点前面,用’,’分开。具有相同动作的多个选择符可以写在同一行的选择符域,各个选择符之间用’;’分开。
一个合法的选择符为如下一些情况(举例说明):
1,*.* :任何设施的任何优先级的日志消息
1,local0.*: local0的任何优先级的日志消息
2,*.crit任何设施的优先级大于等于关键事件的日志消息
3,*.=crit 任何设施的关键事件日志消息
4,*.*;kern.none 除kern外的其他任何设施的任何日志消息
5,kern.info;kern.!err kern设施从info到warning之间的日志消息
动作域描述抽象名词”logfile”,一个”logfile”不必是一个真正的文件。Syslogd提供了如下的动作:
1,正常的文件,用文件的全路径名描述。路径名前加’-‘表示忽略同步文件。
2,命名管道(fifo)。在表示命名管道的文件全路径名前加”|”表示将日志写入命名管道。
3,终端和控制台。如/dev/console。
4,远程机器。“@hostname”
5,用户列表
6,登录的所有用户。用*表示。
日志函数:
void openlog(char *iden,int option,int facility)
void syslog(int priority,char *format);
日志消息格式:
<facility<<3|priority>ident:formatted string
为了利用syslogd提供的强大的日志功能,可以在日志系统中使用这些日志函数。
在openlog中,option一般取0,设施就是上面定义的这些,但用如下一些常数表示:
LOG_AUTH auth
LOG_AUTHPRIV authpriv
LOG_CRON cron
LOG_DAEMON daemon
LOG_KERN kern
LOG_LOCAL0~LOG_LOCAL7 local0~local7
LOG_LPR lpr
LOG_MAIL mail
LOG_NEWS news
LOG_SYSLOG syslog
LOG_USER user
LOG_UUCP uucp
syslog()函数中的priority就是上面提到的那些优先级,这里用如下常数表示
LOG_EMERG emerg
LOG_ALERT alert
LOG_CRIT crit
LOG_ERR err
LOG_WARNING warning
LOG_NOTICE notice
LOG_INFO info
LOG_DEBUG debug
syslog() 中的format的用法和printf(char *format)一样。
比如,可以在IKE模块中openlog(“IKE”,0,LOG_LOCAL0)
然后在需要做日志的地方比如加密卡出故障的时候:
syslog(LOG_EMERG,”SJY01-A cipher Crash!”);