●syslog
ログメッセージを送受信する規格。クライアント・サーバ型で、サーバ内部で利用されるだけではなく、ネットワーク越しに他の機器(ルータなどのネットワーク機器、外部のサーバなど)からのログメッセージを受信することもできるが暗号化機能がない。また、UDP(ポート512番)を使用しているため、サーバにログメッセージが届いていることが保証できない(TCPのように確認応答がない)
これらの問題点を克服した次世代のsyslog-ngやrsyslog
rsyslogはrsyslogdというデーモンによって制御。設定ファイルは「/etc/rsyslog.conf」
モジュール設定、グローバル設定、ルール設定(どのログをどこに出力するか)に分かれ、「/etc/rsyslog.d」ディレクトリに拡張子.confのファイルを追加して設定を読み込むこともできる。
設定を変更した場合は、rsyslog.serviceを再起動する必要がある。
systemctl restart rsyslog
●rsyslogで扱うログメッセージの分類
■主なファシリティ(ログの送信元)
・auth,authpriv 認証サービス
・daemon デーモン各種
・kern カーネル
・lpr 印刷サービス
・mail メールサービス
・syslog syslogdサービス
・user ユーザアプリケーション
・local0~7 独自に使用化
■プライオリティ(監視レベル)
・emerg 非常に危険
・alert 緊急対応が必要な状態
・crit 危険な状態
・err 一般的なエラーメッセージ
・warning 警告メッセージ
・notice 通知メッセージ
・info 情報メッセージ
・debug デバッグ時に有益な情報
・none メッセージを送らない
ファシリティとプライオリティを組み合わせてログを特定し、指定した宛先に出力
ファシリティとプライオリティをあわせて「セレクタ」
ファシリティ.プライオリティ アクション
※
・全てのファシリティや全てのプライオリティを指定するには「」を使う
・プライオリティは、指定したレベル以上のログを出力。特定のレベルのログだけを指定するには、「=プライオリティ」とする。
・アクションには、出力先を指定。出力先は、ファイルであれば絶対パス、外部のsyslogサーバであれば「@サーバアドレス」。全ユーザーのコンソールに送信したい場合は「」を指定。
・アクションの先頭に「-」を付けるとログを非同期で書き込む(デフォルトは同期書き込み)。負荷を軽減できるが、急な停電時にディスクに書き込まれていない分のログが消失する可能性がある。
・「;」でつなぐことで、1つのアクションに対して複数のセレクタが指定できる