　　1.syslog-ng简介

在UNIX系统的维护中，经常会忽略系统事件的处理。经常检查系统日志对于保持系统的安全和正常运行是至关重要的。但是，系统日志中有太多的噪音，一些不是很重要的信息会掩盖重要的信息。目前的工具很难甄别出系统管理者感兴趣的信息。

用户可以通过指定facility/priority，把消息发到不同的地方。系统预先定义了12+8个(mail、news、auth等)facility，八个不同的优先级(alert到debug)。

这其中存在一个问题，大量的程序使用同样的facility(daemon)，把日志都保存到一个文件中(messages)，即使它们毫无关联。这样就造成用户很难筛选出自己感兴趣的东西。

第二个问题是，大多数的程序无法改变日志配置，只能修改软件的源代码。

因此，使用facility作为过滤不是一个好办法。最好能够有一些runtime选项，使用这些选项指定日志facility，建立新的facility。

syslog-ng的一个设计原则就是建立更好的消息过滤粒度。syslog-ng能够进行基于内容和优先权/facility的过滤。另一个设计原则是更容易进行不同防火墙网段的信息转发，它支持主机链，即使日志消息经过了许多计算机的转发，也可以找出原发主机地址和整个转发链。最后的一个设计原则就是尽量使配置文件强大和简洁。

2.消息路径

一个消息路径是由一个或者多个日志消息源、一个或者多个过滤规则以及一个或者多个日志消息目的组成的。来自某个日志消息源的消息进入syslog-ng，如果消息命中某条规则，syslog-ng就把它发送到对应的日志消息目的。

消息源

一些日志消息源驱动器(source driver)组成一个消息源，这些驱动器使用给定的方法收集日志消息。譬如，有的syslog()系统调用使用的AF_UNIX、SOCK_STREAM风格的套接字源驱动器。

在配置文件中，你可以使用下面的语法声明一个日志消息源：

source { source-driver(params); source-driver(params); ... };

identifier是给定消息源的唯一标志，但是这个标志符不能和保留字有冲突。

你可以控制使用哪个驱动器来收集日志消息，因而你需要知道你的系统和他的内部syslogd是如何通讯的。下面介绍一下某些平台中，syslogd是如何工作的。

Linux 一个叫作/dev/log的SOCK_STREAM unix套接字
BSD 一个叫作/var/run/log的SOCK_STREAM unix套接字
Solaris(2.5或以下) 一个叫做/dev/log的SVR4风格的STREAMS设备
solaris(2.6或以上) 除了2.6之前版本使用的STREAMS设备之外，使用了一种新的多线程IPC方法调用门。默认情况下，这个调用门是/etc/syslog_door，由syslogd使用。

在syslog-ng中，每个可能的通讯机制都有对应的日志消息源驱动器。例如：如果要打开一个SOCK_DGRAM风格的UNIX套接字进行通讯，你就会用到unix-dgram驱动器，同样SOCK_STREAM式的通讯需要unix-stream驱动器。

例2-1.Linux中的一个源指令

source src { unix-stream("/dev/log"); internal(); udp(ip(0.0.0.0) port(514)); };

驱动器可以使用参数，参数有些是必需的，有些是可选的。必需的参数一般在前面。上面的指令中，/dev/log就是必需参数。

下面是可用的源驱动器：

internal syslog-ng内部产生的消息
unix-stream 打开指定的SOCK_STREAM模式的unix套接字，接收日志消息
unix-dgram 打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息
file 打开指定的文件读取日志信息
pipe,fifo 打开指定的管道或者FIFO设备，读取日志信息
tcp 在指定的TCP端口接收日志消息
udp 在指定的UDP端口接收日志消息
sun-stream(s) 在solaris系统中，打开一个(多个)指定的STREAM设备，从其中读取日志消息

在下一章中，我们将详细介绍每个日志消息源驱动器。

过滤器

在syslog-ng中，过滤器执行日志路由。你可以使用syslog-ng的内部函数编写布尔表达式，来决定日志信息是否通过。

过滤器也都有唯一的标志符，语法如下：

fileter { eXPression;};

表达式中可以包含逻辑操作符(and、or、not)和函数。

例2-2.一个搜索来自blurp主机，包含deny的日志消息的过滤指令

[1] [2] 下一页

上一篇:细说高端服务器

下一篇:详解导致计算机系统“死机” 的原因及其预防方法

下一代系统日志工具(syslog-ng) 相关文章：

·QQ空间日志可用透明FLASH

·男人要抽烟的四十个理由_QQ空间日志

·IIS攻击与日志

·SQLSERVER备份和对日志的处理

·关于SQL SERVER 日志满的处理方法

·下一代系统日志工具(syslog-ng)

·日志文件惹麻烦 Outlook不能收发邮件

·查看Windows 2003系统日志的简单办法

·用于挖掘Web日志的数据仓库系统实现

·Cisco IOS Cookbook 中文精简版第十八章日志

下一代系统日志工具(syslog-ng) 相关软件：

·IIS日志安全扫描器Autoscan介绍

·WorkLog 工作日志管理V3.17

·pcLog-电脑日志V5.30

·倒班日志V2.01

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:vipcn