syslog-ng配置说明

《syslog-ng配置说明》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、配置说明syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf(可变动)1、架构syslog-ng的配置基于下面的架构：引用LOGSTATEMENTS『SOURCES－FILTERS－DESTINATIONS』消息路径『消息源－过滤器－目的站』也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。2、消息源SOURCES定义格式为：引用source{sourcedriverparams;sourcedriverparams;.

2、..};含义：引用：一个消息源的标识sourcedriver：消息源驱动器，可以支持若干参数，并使用分号“；”隔离多个消息源驱动器消息源驱动器有：引用file(filename)：从指定的文件读取日志信息unix-dgram (filename)：打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息unix-stream(filename)：打开指定的SOCK_STREAM模式的unix套接字，接收日志消息udp((ip),(port))：在指定的UDP端口接收日志消息tcp((ip),(port)

3、)：在指定的TCP端口接收日志消息sun-streams(filename)：在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息internal()：syslog-ng内部产生的消息pipe(filename),fifo(filename)：从指定的管道或者FIFO设备，读取日志信息例如：引用sources_sys{  file("/proc/kmsg"log_prefix("kernel:"));  unix-stream("/dev/log");  internal();  #udp(ip(0.0.

4、0.0)port(514));#如果取消注释，则可以从udp的514端口获取消息};※linux使用/dev/log作为SOCK_STREAMunix的套接字，BSD使用/var/run/log；参数需要使用括号括住。3、过滤器FILTERS定义格式为：引用filter{expression;};含义：引用：一个过滤器标识expression：表达式表达式支持：引用逻辑操作符：and（和）、or（或）、not（非）；函数：可使用正规表达式描述内容过滤函数有：引用facility(,)：根

5、据facility（设备）选择日志消息，使用逗号分割多个facilitylevel(,)：根据level（优先级）选择日志消息，使用逗号分割多个level，或使用“..”表示一个范围program(regexp)：日志消息的程序名是否匹配一个正则表达式host(regexp)：日志消息的主机名是否和一个正则表达式匹配match(regexp)：对日志消息的内容进行正则匹配filter()：调用另一条过滤规则并判断它的值例如：引用filterf_filter2 {level(info..emerg)and          notfac

6、ility(mail,authpriv,cron);};※这里的level定义info，相当于syslog的.=info，并不包括更低的等级；若需要包括更低的等级，请使用“..”表示一个等级范围；另外，filter(DEFAULT)，用于捕获所有没有匹配上的日志消息。filter(*)是无效的。4、目的地DESTINATIONS定义格式为：引用destination{destdriverparams;destdriverparams; ... ;};含义：引用：一个目的地的标识destdrive

7、r：目的地驱动器目的地驱动器有：引用file(filename)：把日志消息写入指定的文件unix-dgram (filename)：把日志消息写入指定的SOCK_DGRAM模式的unix套接字unix-stream(filename)：把日志消息写入指定的SOCK_STREAM模式的unix套接字udp (ip),(port)：把日志消息发送到指定的UDP端口tcp(ip),(port)：把日志消息发送到指定的TCP端口usertty(username)：把日志消息发送到已经登陆的指定用户终端窗口pipe(filename),fif

8、o(filename)：把日志消息发送到指定的管道或者FIFO设备program(parm)：启动指定的程序，并把日志消息发送到该进程的标准输入举例：引用destinationd_mesg{file("/var/log/