logger(二):linux下syslog & syslog-ng 详解

来源：互联网发布：穿越火线手游淘宝商城编辑：程序博客网时间：2024/04/30 13:45

Linux下的sysylog与syslog-ng

一台服务器的日志对系统工程师来说是至关重要的,一旦服务器出现故障或被入侵,我们需要查看日志来定位问题的关键所在,所以说对于线上跑的服务器而言日志应该合理的处理及管理.下面来介绍下linux系统的syslog日志服务器.

一、syslog详解

1.1syslog简介

syslog 是一种工业标准的协议，可用来记录设备的日志。在UNIX系统，路由器、交换机等网络设备中，系统日志(System Log)记录系统中任何时间发生的大小事件。管理者可以通过查看系统记录，随时掌握系统状况。UNIX的系统日志是通过syslogd这个进程记录系统有关事件记录，也可以记录应用程序运作事件。通过适当的配置，我们还可以实现运行syslog协议的机器间通信，通过分析这些网络行为日志，藉以追踪掌握与设备和网络有关的状况。syslog 系统日志记录着linux系统启动及运行的过程中产生的信息, RHEL 5.x系统上默认自带了syslog 的配置文件是/etc/syslog.conf. syslog默认有两个守护进程,klogd,syslogd。klogd 进程是记录系统运行的过程中内核生成的日志,而在系统启动的过程中内核初始化过程中生成的信息记录到控制台(/dev/console）当系统启动完成之后会把此信息存放到/var/adm或/var/log/目录下的信息文件中(messages.*)。一个典型的syslog记录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围。通过使用syslog.conf文件，可以对生成的日志的位置及其相关信息进行灵活的配置。

Syslogd 进程是记录非内核以外的信息: centos 6.x的syslogd被改名为rsyslogd,其默认的配置文件是/etc/rsyslog.conf

2.syslog配置详解：

该配置文件指明了syslogd守护程序记录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。

这些域由tab隔开:选择域指明消息的类型和优先级;动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作.

每个选择域都是由消息类型和优先级组成.当指明一个优先级时，syslogd将记录一个拥有相同或者更高优先级的消息。

Syslog.conf基本语法格式:

[facility].[priority] [action]

消息类型.优先级动作域

2.1 Facility可以理解为日志来源或类别，消息类型

1. auth # 认证相关的

2. authpriv # 权限,授权相关的

3. cron # 任务计划相关的

4. daemon # 守护进程相关的

5. kern # 内核相关的

6. lpr # 打印相关的

7. mail # 邮件相关的

8. mark # 标记相关的

9. news # 新闻相关的

10. security # 安全相关的,与auth 类似

11. syslog # syslog自己的

12. user # 用户相关的

13. uucp # unix to unix cp 相关的

14. local0 到 local7 # 用户自定义使用

15. * # *表示所有的facility

2.2 priority优先级，从高到低

1.emerg/oanic # 会导致系统不可用的

2.alert # 必须马上处理的

3.crit # 比较严重的

4.err/error # 错误信息

5.warning/warn # 可能影响系统功能,需要提醒用户的重要事件

6.notice # 不影响正常功能,需要注意的消息

7.info # 一般信息

8.debug # 程序或系统的调试信息

9.* # 表示所有的日志级别

10.none # 跟* 相反,表示啥也没有

例如:“mail.*”将把所有优先级的消息都发送到操作动作指定的/var/log/mail文件里。使用“*”限定符与使用“debug”优先级的效果完全一样，后者也将把所有类型的消息发送到指定地点。

2.3 action表示日志记录位置

1. 系统上的绝对路径 # 普通文件如： /var/log/xxx

2. | # 管道通过管道送给其他的命令处理

3. 终端 # 终端如：/dev/console

4. @HOST # 远程主机如： @10.0.0.1

5. 用户 # 系统用户如： root

6. * # 登录到系统上的所有用户，一般emerg级别的日志是这样定义的

2.4 一些例子：

1.mail.info /var/log/mail.log # 表示将mail相关的,级别为info及 info以上级别的信息记录到/var/log/mail.log文件中

2.auth.=info @10.0.0.1 # 表示将auth相关的,基本为info的信息记录到10.0.0.1主机上去，前提是10.0.0.1要能接收其他主机发来的日志信息

3.user.!=error # 表示记录user相关的,不包括error级别的信息

4.user.!error # 与user.error相反

5.*.info # 表示记录所有的日志信息的info级别

6.mail.* # 表示记录mail相关的所有级别的信息

7.*.* # 你懂的.

8.cron.info;mail.info # 多个日志来源可以用";" 隔开

9.cron,mail.info # 与cron.info;mail.info 是一个意思

10.mail.*;mail.!=info # 表示记录mail相关的所有级别的信息,但是不包括info级别的

11.uucp,news.crit /var/log/spooler #UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志(/var/log/spooler)中并把级别限为\"err\"或更高

12. **.emerg @linuxaid.com.cn #当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。

13.#kern.* /dev/console #有时syslogd将产生大量的消息。例如内核(\"kern\"设备)可能很冗长，用户很难看得清楚明了，那么用户可能想把内核消息记录到/dev/console中。表明内核日志记录被注释掉了

2.5 如下解析一下rhel5.x系统上自带的syslog的配置文件/etc/syslog.conf

# 表示将所有facility的info级别,但不包括mail,authpriv,cron相关的信息,记录到 /var/log/messages文件

*.info;mail.none;authpriv.none;cron.none /var/log/messages

# 表示将权限,授权相关的所有基本的信息,记录到/var/log/secure文件中.这个文件的权限是600

authpriv.* /var/log/secure

# 表示将mail相关的所有基本的信息记录到/var/log/maillog文件中,可以看到路径前面有一个"-"

# "-" 表示异步写入磁盘,

mail.* -/var/log/maillog

# 表示将任务计划相关的所有级别的信息记录到/var/log/cron文件中

cron.* /var/log/cron

# 表示将所有facility的emerg级别的信息,发送给登录到系统上的所有用户

*.emerg *

# 表示将uucp及news的crit级别的信息记录到/var/log/spooler文件中

uucp,news.crit /var/log/spooler

# 表示将local7的所有级别的信息记录到/var/log/boot.log文件中,

# 上面说过local0 到local7这8个是用户自定义使用的,这里的local7记录的是系统启动相关的信息

local7.* /var/log/boot.log

如果需要重新启动syslog守护进程(/etc/syslog.conf的修改只有在syslog守护进程重新启动后才会生效)，并且只想重新启动syslog守护进程而不是整个系统，在Red Hat Linux机器上，执行以下两条命令之一即可：/etc/rc.d/init.d/syslogstop;/etc/rc.d/init.d/syslogstart/etc/rc.d/init.d/syslogrestart

2.6 使用syslog接口

加载sys/syslog.h文件

openlog：打开日志设备，以供读取和写入，与文件系统调用的open类似;

syslog：写入日志，与文件系统调用的write类似;

closelog：关闭日志设备，与文件系统调用的close类似;

vsyslog：它和syslog功能一样，负责写入日志，只是参数格式不同。

(1)openlog函数

该函数的声明如下：

void openlog(const char *ident, int option, int facility);

此函数用来打开一个到系统日志记录程序的连接，打开之后就可以用syslog或vsyslog函数向系统日志里添加信息了。而closelog函数就是用来关闭此连接的。

第一个参数ident是一个标记，ident所表示的字符串将固定地加在每行日志的前面以标识这个日志，通常就写成当前程序的名称以作标记。

第二个参数 option一般是下列选项值取“与”运算(使用“|”表示，如“LOG_CONS | LOG_PID”)的结果：

LOG_CONS：如果送到system logger时发生问题，直接写入系统终端;

LOG_NDELAY：立即开启连接，通常连接是在第一次写入消息时才打开的;

LOG_PERROR：将消息也同时送到stderr设备;

LOG_PID：将进程PID含入所有消息中。

第三个参数facility指明记录日志的程序的类型，它主要具有如下几类日志类型：

LOG_AUTH ：安全/授权消息

LOG_AUTHPRIV：安全/授权消息

LOG_CRON：时间守护进程(cron和at)专用

LOG_DAEMON：其它系统守护进程

LOG_KERN：核心消息

LOG_LOCAL0到LOG_LOCAL7：系统保留

LOG_LPR：printer子系统

LOG_MAIL：mail子系统

LOG_NEWS：USENET新闻子系统

LOG_SYSLOG：syslogd进程内部所产生的消息

LOG_USER(缺省)：一般使用者缺省使用消息

LOG_UUCP：UUCP子系统

LOG_FTP：FTP子系统使用

(2)syslog函数

syslog函数的声明如下：

void syslog(int priority, const char * message, ...);

第一个参数是消息的紧急级别priority，第二个参数是消息及其格式，之后是格式对应的参数，如同C语言里面printf输出函数一样使用，具体的格式这里就不再详述，它不是本书介绍的重点。

这里还需要详细介绍一下第一个参数priority，它是由severity level和facility组成的。Facility已经在上面介绍了，下面介绍一下severity level，也就是消息的重要级别，它主要包括：

LOG_EMERG：紧急状况

LOG_ALERT：高优先级问题，比如说数据库崩溃等，必须要立即采取反应行动

LOG_CRIT：重要状况发生，比如硬件故障

LOG_ERR：错误发生

LOG_WARNING：警告发生

LOG_NOTICE：一般状况，需要引起注意

LOG_INFO：信息状况

LOG_DEBUG：调试消息

在实际使用中，如果我们的程序要使用系统日志功能，只需要在程序启动时使用openlog函数来连接syslogd程序，后面随时用syslog函数写日志就行了。

(3)closelog函数

相对上述2个函数来说，该函数非常简单，其声明如下：

void closelog( void );

值得注意的是，虽然该函数的使用和调用情况非常简单，但是是必不可少的，因为在Linux系统中，打开的日志也是资源，如果只使用openlog函数打开日志，而忘记使用closelog关闭日志的话，当打开的日志数量累积到一定程度，便会造成内存不足，从而引起系统问题。所以，提醒用户在使用中特别注意

3.syslog-ng配置详解：

syslog-ng (syslog-Next generation) 是syslog的升级版,syslog-ng有两个版本,一个是收费的,一个是开源的，那么作为syslog的下一代产品,功能是可想而知,肯定比syslog的功能强大的多,如
高性能可靠的传输支持多平台高可靠性众多的用户群体强大的日志过滤及排序事件标签和关联性支持最新的IETF标准等....

3.1 syslog-ng 的设计原则：

通过正规表达式协助，除支持原facitily/level方式，还支持内容过滤等以建立更好的消息过滤机制；

支持主机链，即使日志消息经过多重网络转发，仍可找到原发出主机的信息和整个消息链；

支持强大的自定义配置，并且清晰、明了。

开源版本的主页 http://www.balabit.com/network-security/syslog-ng/opensource-logging-system/overview

3.2 syslog-ng 安装:

1.rhel5.x的系统上安装方法:

yum install gcc*

cd /usr/src

wget http://www.balabit.com/downloads/files/syslog-ng/sources/3.2.4/source/eventlog_0.2.12.tar.gz

wget http://www.balabit.com/downloads/files/syslog-ng/open-source-edition/3.3.5/source/syslog-ng_3.3.5.tar.gz

tar xvf eventlog_0.2.12.tar.gz

cd eventlog-0.2.12

./configure --prefix=/usr/local/eventlog

make

make install

cd /usr/src

tar xvf syslog-ng_3.3.5.tar.gz

cd syslog-ng-3.3.5

export PKG_CONFIG_PATH=/usr/local/eventlog/lib/pkgconfig

./configure --prefix=/usr/local/syslog-ng

make

make install

2.Ubuntu 2.6.x上的安装方法

Sudo apt-get install syslog-ng

3.3 syslog-ng 原理:

LOG STATEMENTS『SOURCES － FILTERS －DESTINATIONS』
消息路径『消息源－过滤器－目的站』

也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。

3.4 syslog-ng 配置详解:

文件:$/etc/syslog-ng.conf

1. syslog-ng.conf文件里的内容有以下几个部分组成,

2. # 全局选项,多个选项时用分好";"隔开

3. options { .... };

4. # 定义日志源,

5. source s_name { ... };

6. # 定义过滤规则，规则可以使用正则表达式来定义,这里是可选的,不定义也没关系

7. filter f_name { ... };

8. # 定义目标

9. destination d_name { ... };

10. # 定义消息链可以将多个源,多个过滤规则及多个目标定义为一条链

11. log { ... };

12. 详解如下

13. ----------------------------------------------------------------

14. options { long_hostnames(off); sync(0); perm(0640); stats(3600); };

15. 更多选项如下

16. chain_hostnames(yes|no) # 是否打开主机名链功能，打开后可在多网络段转发日志时有效

17. long_hostnames(yes|no) # 是chain_hostnames的别名，已不建议使用

18. keep_hostname(yes|no) # 是否保留日志消息中保存的主机名称

19. use_dns(yes|no) # 是否打开DNS查询功能，

20. use_fqdn(yes|no) # 是否使用完整的域名

21. check_hostname(yes|no) # 是否检查主机名有没有包含不合法的字符

22. bad_hostname(regexp) # 可通过正规表达式指定某主机的信息不被接受

23. dns_cache(yes|no) # 是否打开DNS缓存功能

24. dns_cache_expire(n) # DNS缓存功能打开时，一个成功缓存的过期时间

25. dns_cache_expire_failed(n) # DNS缓存功能打开时，一个失败缓存的过期时间

26. dns_cache_size(n) # DNS缓存保留的主机名数量

27. create_dirs(yes|no) # 当指定的目标目录不存在时，是否创建该目录

28. dir_owner(uid) # 目录的UID

29. dir_group(gid) # 目录的GID

30. dir_perm(perm) # 目录的权限，使用八进制方式标注，例如0644

31. owner(uid) # 文件的UID

32. group(gid) # 文件的GID

33. perm(perm) # 文件的权限，同样，使用八进制方式标注

34. gc_busy_threshold(n) # 当syslog-ng忙时，其进入垃圾信息收集状态的时间一旦分派的对象达到这个数字，syslog-ng就启动垃圾信息收集状态。默认值是：3000。

35. gc_idle_threshold(n) # 当syslog-ng空闲时，其进入垃圾信息收集状态的时间一旦被分派的对象到达这个数字，syslog-ng就会启动垃圾信息收集状态，默认值是：100

36. log_fifo_size(n) # 输出队列的行数

37. log_msg_size(n) # 消息日志的最大值（bytes）

38. mark(n) # 多少时间（秒）写入两行MARK信息供参考，目前没有实现

39. stats(n) # 多少时间（秒）写入两行STATUS信息,默认值是：600

40. sync(n) # 缓存多少行的信息再写入文件中，0为不缓存，局部参数可以覆盖该值。

41. time_reap(n) # 在没有消息前，到达多少秒，即关闭该文件的连接

42. time_reopen(n) # 对于死连接，到达多少秒，会重新连接

43. use_time_recvd(yes|no) # 宏产生的时间是使用接受到的时间，还是日志中记录的时间；建议使用R_的宏代替接收时间，S_的宏代替日志记录的时间，而不要依靠该值定义。

44.

45. source s_name { internal(); unix-dgram("/dev/log"); udp(ip("0.0.0.0") port(514)); };

46.

47. file (filename) # 从指定的文件读取日志信息

48. unix-dgram (filename) # 打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息

49. unix-stream (filename) # 打开指定的SOCK_STREAM模式的unix套接字，接收日志消息

50. udp ( (ip),(port) ) # 在指定的UDP端口接收日志消息

51. tcp ( (ip),(port) ) # 在指定的TCP端口接收日志消息

52. sun-streams (filename) # 在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息

53. internal() # syslog-ng内部产生的消息

54. pipe(filename),fifo(filename) # 从指定的管道或者FIFO设备，读取日志信息

55.

56. filter f_name { not facility(news, mail) and not filter(f_iptables); };

57. 更多规则函数如下

58. facility(..) # 根据facility（设备）选择日志消息，使用逗号分割多个facility

59. level(..) # 根据level（优先级）选择日志消息，使用逗号分割多个level，或使用“..”表示一个范围

60. program(表达式) # 日志消息的程序名是否匹配一个正则表达式

61. host(表达式) # 日志消息的主机名是否和一个正则表达式匹配

62. match(表达式) # 对日志消息的内容进行正则匹配

63. filter() # 调用另一条过滤规则并判断它的值

64. 定义规则的时候也可以使用逻辑运算符and or not

65.

66. destination d_name { file("/var/log/messages"); };

67. 更多动作如下

68. file (filename) # 把日志消息写入指定的文件

69. unix-dgram (filename) # 把日志消息写入指定的SOCK_DGRAM模式的unix套接字

70. unix-stream (filename) # 把日志消息写入指定的SOCK_STREAM模式的unix套接字

71. udp (ip),(port) # 把日志消息发送到指定的UDP端口

72. tcp (ip),(port) # 把日志消息发送到指定的TCP端口

73. usertty(username) # 把日志消息发送到已经登陆的指定用户终端窗口

74. pipe(filename),fifo(filename) # 把日志消息发送到指定的管道或者FIFO设备

75. program(parm) # 启动指定的程序，并把日志消息发送到该进程的标准输入

76.

77. log { source(s_name); filter(f_name); destination(d_name) };

3.5 syslog-ng.conf 例子:

1. options { long_hostnames(off); sync(0); perm(0640); stats(3600); };

3. source src {

4. internal();

5. unix-dgram("/dev/log");

6. # 表示日志来源为本机udp的514端口,

7. udp(ip("0.0.0.0") port(514));

8. };

10. filter f_iptables { facility(kern) and match("IN=") and match("OUT="); };

11.

12. filter f_console { level(warn) and facility(kern) and not filter(f_iptables)

13. or level(err) and not facility(authpriv); };

14.

15. filter f_newsnotice { level(notice) and facility(news); };

16. filter f_newscrit { level(crit) and facility(news); };

17. filter f_newserr { level(err) and facility(news); };

18. filter f_news { facility(news); };

19.

20. filter f_mailinfo { level(info) and facility(mail); };

21. filter f_mailwarn { level(warn) and facility(mail); };

22. filter f_mailerr { level(err, crit) and facility(mail); };

23. filter f_mail { facility(mail); };

24.

25. filter f_cron { facility(cron); };

26.

27. filter f_local { facility(local0, local1, local2, local3,

28. local4, local6, local7); };

29.

30. filter f_acpid_full { match('^acpid:'); };

31. filter f_acpid { level(emerg..notice) and match('^acpid:'); };

32.

33. filter f_acpid_old { match('^\[acpid\]:'); };

34.

35. filter f_netmgm { match('^NetworkManager:'); };

36.

37. filter f_messages { not facility(news, mail) and not filter(f_iptables); };

38. filter f_warn { level(warn, err, crit) and not filter(f_iptables); };

39. filter f_alert { level(alert); };

40.

41. destination console { pipe("/dev/tty10" owner(-1) group(-1) perm(-1)); };

42. log { source(src); filter(f_console); destination(console); };

43.

44. destination xconsole { pipe("/dev/xconsole" owner(-1) group(-1) perm(-1)); };

45. log { source(src); filter(f_console); destination(xconsole); };

46.

47. destination newscrit { file("/var/log/news/news.crit"

48. owner(news) group(news)); };

49. log { source(src); filter(f_newscrit); destination(newscrit); };

50.

51. destination newserr { file("/var/log/news/news.err"

52. owner(news) group(news)); };

53. log { source(src); filter(f_newserr); destination(newserr); };

54.

55. destination newsnotice { file("/var/log/news/news.notice"

56. owner(news) group(news)); };

57. log { source(src); filter(f_newsnotice); destination(newsnotice); };

58.

59. destination mailinfo { file("/var/log/mail.info"); };

60. log { source(src); filter(f_mailinfo); destination(mailinfo); };

61.

62. destination mailwarn { file("/var/log/mail.warn"); };

63. log { source(src); filter(f_mailwarn); destination(mailwarn); };

64.

65. destination mailerr { file("/var/log/mail.err" fsync(yes)); };

66. log { source(src); filter(f_mailerr); destination(mailerr); };

67.

68. destination mail { file("/var/log/mail"); };

69. log { source(src); filter(f_mail); destination(mail); };

70.

71. destination acpid { file("/var/log/acpid"); };

72. destination null { };

73. log { source(src); filter(f_acpid); destination(acpid); flags(final); };

74.

75. log { source(src); filter(f_acpid_full); destination(null); flags(final); };

76.

77. log { source(src); filter(f_acpid_old); destination(acpid); flags(final); };

78.

79. destination netmgm { file("/var/log/NetworkManager"); };

80. log { source(src); filter(f_netmgm); destination(netmgm); flags(final); };

81.

82. destination localmessages { file("/var/log/localmessages"); };

83. log { source(src); filter(f_local); destination(localmessages); };

84.

85. destination messages { file("/var/log/messages"); };

86. log { source(src); filter(f_messages); destination(messages); };

87.

88. destination firewall { file("/var/log/firewall"); };

89. log { source(src); filter(f_iptables); destination(firewall); };

90.

91. destination warn { file("/var/log/warn" fsync(yes)); };

92. log { source(src); filter(f_warn); destination(warn); };

93.

94. filter f_ha { facility(local5); };

95. destination hamessages { file(/var/log/ha); };

96. log { source(src); filter(f_ha); destination(hamessages); };

3.6 syslog-ng 的扩展项:

syslog-ng除了有全局选项参数外，不同的函数还可以定义其参数，其中包括：
1、扩展file的宏引用

HOST 日志消息的源发主机名。如果日志消息穿过几个主机，并且chain_hostname（）功能已经打开，就使用第一个主机名。
FACILITY ：日志消息来自的日志设备
PRIOPRITY/LEVEL ：日志消息的优先级
PROGRAM ：发送日志消息的程序
YEAR ：发送日志消息的年份，这个宏既可以指定日志消息送出的时间，也可以指定日志消息收到的时间。这由use_time_recvd（）选项控制
MONTH ：发送日志消息的月份
DAY ：发送日志消息的日子
HOUR ：小时
MIN ：分钟
SEC ：秒

2、file的参数
例如：log_file_size（）、sync（）、owner（）、perm（）等，请参考上面的全局设定
3、tcp和upd的参数引用

ip（xxx.xxx.xxx.xxx）：定义绑定的IP地址
port（n）：定义绑定的端口
max-connections（n）：定义最大连接数

※TCP基于连接方式传输，不会造成日志丢失，而UDP则不同。但因为传统的syslog基于UDP的514端口，所以，UDP方式也经常会使用到。
另外，514也是rshell的默认端口，请注意冲突。
举例：

destination d_mail { file("/var/log/maillog" sync(10)); };
这里定义的sync(10)会覆盖全局配置，表示若写入的日志数量达到10，才写入maillog文件。

3.6 syslog-ng 的扩展项template选项用法:

1.例1：設定存入資料庫的目的：

destination d_mysql {pipe("/tmp/mysql.pipe"template("INSERT INTO logs (host, facility, priority, level, tag, date, time, program, msg) VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY', '$HOUR:$MIN:$SEC', '$PROGRAM', '$MSG' );\n") template-escape(yes));};

#temple定义输出格式（时间，日志级别，信息），具体参考file宏

2.例2：

template ws_fmt {template("$DATE $PRIORITY $MSG\n"); template_escape(no); };

3.7 syslog-ng 关于垃圾收集状态:

当满足一定的条件，syslog-ng即会进入垃圾收集状态，而暂时不再接受日志信息。这时，会造成非连接的传输协议的日志丢失（例如UDP）。通过设置下面两个选项可以控制：

gc_idle_threshold(n) ：
意思是，一旦被分派的对象到达这个数字，并且当syslog-ng空闲时（100微秒内没有日志消息到达）。此时，syslog-ng就会启动垃圾信息收集状态。
已分配的对象可通过-v命令行参数指定其的最小值。而syslog-ng这个值应该比较小，但比已分配的对象要大即可。

例如，空闲状态，syslog-ng会显示：

Nov 13 16:35:35 syslogng syslog-ng[4510]: STATS: dropped 0
Nov 13 16:45:35 syslogng syslog-ng[4510]: STATS: dropped 0

当忙时：

gc_busy_threshold(n) ：当syslog-ng忙时，一旦分派的对象达到这个数字，syslog-ng就进入垃圾信息收集状态的时间。该值应该比较高，以保证正常情况下不会打断日志消息的收取。

3.8 使用方法及案例:

如：

1.安装:ubuntu下安装方法: apt-get install syslog-ng

2.配置syslog-ng.conf文件，在目录：/etc/syslog-ng/syslog-ng.conf

3.将配置好的syslog-ng.conf替换源文件

4.配置syslog-ng文件，在目录:/etc/logrotate.d/syslog-ng

5.启动log服务:/etc/init.d/syslog-ng restart

若不增加其他设定,可以通过下面的简单命令即可替换原syslog服务:

# service syslog stop
# service syslog-ng start

3.9 参考资料:

man syslog-ng.conf
man 8 syslog-ng

0 0