syslogd: 系统日志守护进程

syslogd 是 Unix 和 Linux 系统中用于管理日志消息的守护进程，能够接收内核、系统服务和应用程序的日志消息，并将其写入指定的日志文件或转发到远程主机。通过配置文件 /etc/syslog.conf，用户可以定义日志消息的处理规则，包括优先级、日志内容和处理方式。syslogd 还支持启动和管理，用户可通过 systemctl 命令启动、停止或重启服务。一个示例实例展示了如何将特定进程的日志写入特定文件，配置修改后即可生效。rsyslogd 是 syslogd 的增强版本，提供了更多高级功能。常见问题包括日志文件未更新和消息丢失，可通过检查配置和网络状态进行排查。syslogd 是管理系统日志的重要工具，帮助系统管理员进行故障排除和性能监控。

文章目录

序言
什么是 syslogd？
syslogd 的工作原理
syslog 消息的详细说明
配置文件：基本设置
启动与管理 syslogd：配置与管理
实例：将某个进程的日志写入特定的 log 文件
高级配置与应用
常见问题解答：常见问题与故障排除
总结：关键点回顾

前言

系统日志在操作系统中发挥着核心作用，它记录了系统和应用程序的各种事件，支持系统管理员和开发者进行调试和维护。syslogd 是 Unix 和 Linux 系统中负责管理日志的进程。本文将深入探讨 syslogd 的功能、配置及使用方法。

什么是 syslogd？

syslogd是一种专门处理系统日志消息的守护进程。它从内核、系统服务、应用程序等多个来源接收日志消息，并将这些消息写入指定的日志文件，或转发至其他主机。

工作原理

syslogd 通过 /dev/log 设备文件读取本地日志消息，并依靠 UDP 514 端口接收远程日志消息。它遵循配置文件 /etc/syslog.conf 中指定的规则对日志消息进行分类和处理。

syslog 消息的结构

每条 syslog 消息由两个主要部分组成：优先级和消息内容。

与其说该方法性能优越，不如说其简单的设计和代码简洁是主要原因。

Priority由Facility和Severity两个方面构成。

配置文件

配置文件通常位于 /etc/syslog.conf。该配置文件规范了日志消息的处理规则，每条规则的格式如下：

    facility.level    action

注：改写后的文本仅在表达方式上进行调整，保持了原文的技术术语和核心含义。

    # 记录所有内核消息到 /var/log/kern.log
    kern.*				-/var/log/kern.log
    
    # 记录所有警告级别和更高级别的消息到 /var/log/messages
    *.warn              /var/log/messages
    
    # 将邮件系统的日志消息转发到远程日志服务器
    mail.*              @logserver.example.com
    
    # 将所有严重级别为 crit 的消息发送到所有用户终端
    *.crit              *

kern.*：这一部分定义了消息的来源和严重级别。

kern：表示内核消息（来源）。

*：表示所有级别的消息（从 debug 到 emerg）。

由此可见，kern.* 代表所有自内核发出的消息，无论其严重程度如何。内核消息的源头是 printk，该函数将数据写入内核日志缓冲区。随后，dmesg 或 syslogd 会从该缓冲区读取数据。

-/var/log/kern.log：这一部分定义了日志消息的处理方式。

连字符的作用是实现日志写入的非同步机制，通过缓存减少磁盘 I/O 负载，但可能导致部分日志在系统崩溃时丢失。日志文件位于 /var/log/kern.log，专门记录所有匹配 'kern.*' 的日志消息。

启动和管理 syslogd

在大多数 Linux 发行版中，syslogd 可以通过以下命令启动、停止或重启：

    # 查看 syslogd 状态
    sudo systemctl status syslog
    
    # 启动 syslogd
    sudo systemctl start syslog
    
    # 停止 syslogd
    sudo systemctl stop syslog
    
    # 重启 syslogd
    sudo systemctl restart syslog

日志文件的位置通常位于 /var/log 目录中。syslogd 通常会将日志信息写入至 /var/log 目录中的特定文件中。常见的日志文件包括 syslogd.log、syslogd daily.log、syslogd weekly.log 和 syslogd monthly.log。

• /var/log/messages：系统通用记录文件
• /var/log/auth.log：身份验证记录
• /var/log/kern.log：内核日志记录
• /var/log/mail.log：邮件记录日志
• /var/log/cron.log：定时任务记录日志

实例（将某个进程的日志写入特定的 log 文件）

    // syslog.c
    #include <syslog.h>
    
    int main() {
    openlog("myapp", LOG_PID | LOG_CONS, LOG_USER);
    syslog(LOG_ERR, "An error occurred: %s", "example error");
    closelog();
    return 0;
    }

修改配置文件

    nvidia@tegra-ubuntu:~$ sudo tail /etc/rsyslog.d/50-default.conf -n 5
    
    # Log messages from myapp to /var/log/myapp.log
    if $programname == 'myapp' then /var/log/myapp.log
    & stop

重启生效

    nvidia@tegra-ubuntu:~$ sudo systemctl restart rsyslog.service

测试

    nvidia@tegra-ubuntu:~$ ./syslog.out 
    nvidia@tegra-ubuntu:~$ ./syslog.out 
    nvidia@tegra-ubuntu:~$ cat /var/log/myapp.log 
    Jul 13 15:40:24 tegra-ubuntu myapp[2120]: An error occurred: example error
    Jul 13 15:47:26 tegra-ubuntu myapp[2139]: An error occurred: example error

高级配置和应用

日志轮换（Log Rotation）：为避免日志文件过大，常用logrotate工具定期轮换日志文件。其配置文件存放在/etc/logrotate.conf和/etc/logrotate.d/目录中。

通过将日志信息转发至远程日志服务器，可以实现对多个系统日志的集中统一管理，这在大型部署环境中具有重要意义。示例配置：

在 /etc/syslog.conf 中添加：

    *.* @logserver.example.com

日志分析工具：为日志数据的分析与可视化提供了多种方案，包括但不限于logwatch、Splunk、ELK（Elasticsearch、Logstash、Kibana）等工具，能够帮助用户高效地展示和理解日志信息。

rsyslogd

rsyslogd 是 syslogd 的增强版，配备了更强大的日志处理功能和更高的性能。它支持 syslogd 的配置文件格式，并添加了多种高级功能。rsyslogd 的配置文件通常设置在 /etc/rsyslog.conf，其配置格式类似于 syslogd，但提供了更多选择。

选择 syslogd 还是 rsyslogd 取决于具体需求：

• 简单需求：如果你的日志需求简单，主要是本地日志记录和基本的日志转发，syslogd 足够应付。
• 高级需求：如果你需要高级的日志处理功能，如复杂的过滤、格式转换、加密传输或数据库存储，rsyslogd 是更好的选择。

常见问题及故障排除

日志文件未更新：确认 syslogd 是否正在运行，以及配置文件是否正确无误。日志消息丢失：确认网络配置，确保 UDP 514 端口未被防火墙阻塞，远程日志服务器已正常运行。

总结

在Unix和Linux系统中，syslogd扮演着管理日志消息的重要角色。正确配置和使用syslogd能够有效收集、存储和管理系统的日志信息，从而帮助管理员进行故障排查和性能优化。期待本文能为您提供有价值的学习资源，助您更高效地掌握syslogd的使用方法。