AIX syslog

lovegong225

系统日志配置
为了记录系统消息，AIX 5L 使用了 syslogd。syslogd 守护进程读取一个数据报套接字，并将每个消息行发送到由 /etc/syslog.conf 配置文件描述的目标。syslogd 守护进程在被激活时和收到挂起信号时读取该配置文件。
syslogd 守护进程创建 /etc/syslog.pid 文件。此文件包含单个行，其中带有 syslogd 守护进程的命令进程 ID。此文件用于结束或重新配置 syslogd 守护进程。
发送到 syslogd 守护进程的终止信号将结束该守护进程。syslogd 守护进程记录结束信号信息并立即终止。
每个消息为一行。消息可以包含优先级代码，此代码由位于行首的尖括号 () 中包含的数字来标记。长度超过 900 字节的消息可以截断。
/usr/include/sys/syslog.h 包含文件定义了配置文件使用的功能和优先级代码。本地编写的应用程序使用 syslog.h 文件中包含的定义，从而通过 syslogd 守护进程记录消息。
syslogd 命令的一般语法如下所示：
syslogd [ -d ] [ -s ] [ -f ConfigurationFile ] [ -m MarkInterval ] [-r]
表 3 提供了启动 syslogd 时常用的标志。
表 3 用于 syslogd 守护进程的常用标志
标志
描述
-d
打开调试。
-f Config File
指定替代的配置文件。
-m MarkInterval
指定标记命令消息之间相隔的分钟数。如果不使用此标志，则标记命令将每隔 20 分钟发送一条优先级为 LOG_INFO 的消息。包含一个 *（星号）的选择器字段将禁用此功能，此选择器字段将选择所有其他功能。
-s
指定为本地系统上生成的所有转发 syslogd 消息转发一条缩短的消息到另一个系统（如果作此配置的话）。
-r
禁止对从远程主机收到的消息进行日志记录。
syslogd 守护进程使用一个配置文件，以根据消息的优先级和生成消息的功能来确定将系统消息发送到何处。缺省情况下，syslogd 读取缺省配置文件 /etc/syslog.conf，但是如果指定了 –f 标志，则可以指定替代的配置文件。
syslogd 配置文件
/etc/syslog.conf 文件控制 syslogd 守护进程的行为。例如，syslogd 使用 /etc/syslog.conf 文件确定将错误消息发送到何处，或如何对不同的系统事件作出反应。下面是缺省的 /etc/syslog.conf 文件的一部分：
# @(#)34        1.11  src/bos/etc/syslog/syslog.conf, cmdnet, bos530 4/27/04
14:                                                                  47:53
# IBM_PROLOG_BEGIN_TAG
# This is an automatically generated prolog.
#
# bos530 src/bos/etc/syslog/syslog.conf 1.11
#
# Licensed Materials - Property of IBM
#
# (C) COPYRIGHT International Business Machines Corp. 1988,1989
# All Rights Reserved
#
# US Government Users Restricted Rights - Use, duplication or
# disclosure restricted by GSA ADP Schedule Contract with IBM Corp.
#
# IBM_PROLOG_END_TAG
#
.
.
.
（省略的行）
.
.
.
# /etc/syslog.conf - control output of syslogd
#
#
# Each line must consist of two parts:-
#
# 1) A selector to determine the message priorities to which the
#    line applies
# 2) An action.
#
# Each line can contain an optional part:-
#
# 3) Rotation.
#
# The fields must be separated by one or more tabs or spaces.
#
# format:
#
#   [rotate [size  k|m]
[files ] [time  h|d|w|m|y] [compress][archive ]]
#
# where  is a semicolon separated list of .
# where:
#
#  is:
#       * - all (except mark)
#       mark - time marks
.
.
.
（省略的行）
.
.
.
# example:
# "mail messages, at debug or higher, go to Log file.File must exist."
# "all facilities, at debug and higher, go to console"
# "all facilities, at crit or higher, go to all users"
#  mail.debug           /usr/spool/mqueue/syslog
#  *.debug              /dev/console
#  *.crit                       *
#  *.debug              /tmp/syslog.out     rotate size 100k files 4
#  *.crit               /tmp/syslog.out     rotate time 1d
除了包含 syslogd 守护进程设置的 /etc/syslog.conf 文件外，/etc/syslog.pid 文件还包含正在运行的 syslogd 守护进程的进程 ID。
配置文件的格式
本部分描述 /etc/syslog.conf 文件的格式是什么，以及如何解释此文件中的不同条目。syslogd 守护进程配置文件中的行包含一个选择器字段和一个操作字段，两者之间由一个或多个制表符分隔。
选择器字段指定一个功能和一个优先级。功能名称之间用一个逗号 (,) 分隔，选择器的功能和优先级部分之间用一个句点 (.) 分隔，同一选择器字段中的多个条目之间用一个分号 (;) 分隔。要选择所有功能，可以使用一个星号 (*)。
操作字段确定要接收消息的目标（文件、主机或用户）。如果将消息发送到远程主机，远程系统将按照自己的配置文件中的指示来处理消息。要在用户的终端上显示消息，目标字段必须包含一个有效的已登录系统用户的名称。
功能
表 4 列出了 /etc/syslog.conf 文件中使用的部分功能。可以在选择器字段中使用这些系统功能名称。
表 4 /etc/syslog.conf 文件中使用的功能
功能
描述
kern
内核
user
用户级别
mail
邮件子系统
daemon
系统守护进程
auth
安全性或授权
syslog
syslogd 守护进程
lpr
行式打印机子系统
news
新闻子系统
uucp
uucp 子系统
*
所有功能
优先级
表 5 列出了 /etc/syslog.conf 文件中使用的优先级。可以在选择器字段中使用这些消息优先级。指定优先级和所有更高优先级的消息均按指示进行发送。
表 5 /etc/syslog.conf 文件的优先级
优先级
描述
emerg
指定紧急消息 (LOG_EMERG)。这些消息不分发给所有用户。可以将 LOG_EMERG 优先级的消息记录到单独的文件中以便检查。
alert
指定重要消息 (LOG_ALERT)，例如严重硬件错误。这些消息将分发给所有用户。
crit
指定未分类为错误的关键消息 (LOG_CRIT)，例如不适当的登录尝试。LOG_CRIT 和更高优先级的消息将发送到系统控制台。
err
指定表示错误条件的消息 (LOG_ERR)，例如不成功的磁盘写入。
warning
指定表示异常但可恢复的条件的消息 (LOG_WARNING)。
notice
指定重要的信息性消息 (LOG_NOTICE)。没有指定优先级的消息将映射为此优先级。这些消息比信息性消息更重要，但不如警告。
info
指定信息性消息 (LOG_INFO)。这些消息可以丢弃，但是在分析系统时很有用。
debug
指定调试消息 (LOG_DEBUG)。这些消息可以丢弃。
none
排除选定的功能。仅当在同一选择器字段中的前面有一个带 *（星号）的条目时，此优先级才有用。
目标
表 6 列出了 /etc/syslog.conf 文件中使用的一些目标。您可以在操作字段中使用这些消息目标。
表 6 /etc/syslog.conf 文件的目标描述
目标
描述
File Name
以追加模式打开的文件的完整路径名称。
@Host
主机名称，前缀一个 @ 字符。
User[, User][...]
用户名。
*
所有用户。
使用系统日志
要自定义 /etc/syslog.conf 文件以便满足所需的条件，应该通过编辑 /etc/syslog.conf 文件来更新系统日志。在编辑 /etc/syslog.conf 文件并向其添加自己的行以后，您需要重新启动 syslogd 守护进程。这可以通过运行以下命令来完成：
1. 检查以确定 syslogd 守护进程的进程 ID 是什么。在此例中，该进程 ID 是 17228：
# ps -ef | grep syslogd
root 217228 114906   0   Nov 16      -  0:00 /usr/sbin/syslogd
root 430306 290870   0 14:18:11  pts/0  0:00 grep syslogd
2. 使用 stopsrc 命令终止 syslogd 守护进程，如下所示：
# stopsrc -s syslogd
0513-044 The syslogd Subsystem was requested to stop.
3. 检查 syslogd 守护进程是否已成功终止：
# ps -ef | grep syslogd
root 364610 290870   0 14:20:22  pts/0  0:00 grep syslogd
4. 使用 startsrc 命令重新启动 syslogd 守护进程：
# startsrc -s syslogd
0513-059 The syslogd Subsystem has been started.Subsystem PID is 471258.
下面是 /etc/syslog.conf 文件用法的几个示例：

• 要将调试级或以上的所有邮件功能消息记录到文件 /tmp/mailsyslog，可以输入以下命令：

mail.debug /tmp/mailsyslog
其中：
mail 是功能。
debug 是优先级。
/tmp/mailsyslog 是目标。

• 要将除来自邮件功能以外的所有系统消息发送到名为 rigil 的主机，可以输入以下命令：

*.debug;mail.none @rigil
其中：
* 和 mail 是功能。
debug 和 none 是优先级。
@rigil 是目标。

• 要将来自所有功能的 emerg 优先级的消息和来自邮件及守护进程的 crit 及以上优先级的消息发送到用户 nick 和 jam，可以输入以下命令：

*.emerg;mail,daemon.crit nick, jam
其中：
*、mail 和 daemon 是功能。
emerg 和 crit 是优先级。
nick 和 jam 是目标。

• 要将所有邮件功能消息发送到所有用户的终端屏幕，可以输入以下命令：

mail.debug *
其中：
mail 是功能。
debug 是优先级。
* 是目标。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/74291/showart_1091378.html