Tina_Linux_syslog_使用指南

这篇具有很好参考价值的文章主要介绍了Tina_Linux_syslog_使用指南。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Tina Linux syslog 使用指南

1 基本介绍

syslog 可以说是一套统一管理系统日志的机制,尤其常用于记录守护进程的输出信息上。因为守护进程不存在控制终端,它的打印不能简单地直接输出到stdin 或

stderr。

使用syslog 时,一般需要关注两部分:syslog 守护进程与syslog 函数。

1.1 syslog 守护进程

syslog 守护进程用于统一管理日志。它一般会创建一个数据报(SOCK_DGRAM )类型的Unix 域套接字(Unix domain socket),将其捆绑到/dev/log (不同的

系统可能会有所不同)。如果支持网络功能,它可能还会创建一个UDP 套接字,并捆绑到端口514。syslog 守护进程从这些套接字中读取日志信息,然后再输出到

设定的目标位置(文件、串口等)。

后面提到的ubox 的logd 、busybox 的syslogd 、syslog-ng 都是syslog 守护进程的不同实现。

1.2 syslog 函数

应用程序若想将打印信息发送到syslog 守护进程,就需要通过Unix 域套接字将信息输出到syslog守护进程绑定的路径,标准的做法是通过调用syslog 函数:

#include <syslog.h>
void openlog(const char *ident, int option, int facility);
void syslog(int priority, const char *format, ...);
void closelog(void);

syslog 函数被应用程序首次调用时,会创建一个Unix 域套接字,并连接到syslog 守护进程的Unix 域套接字绑定的路径名上。这个套接字会一直保持打开,直到进

程终止为止。应用程序也可以显式地调用openlog 和closelog (这两个函数都不是必须要调用的),如果不显式调用,在第一次调用syslog 函数时会自动隐式地调

用openlog ,进程结束后也会自动关闭与syslog 守护进程通信的文件描述符,相当于隐式调用closelog 。

以下是一些参数说明,更详细的请参考syslog 的man 手册。

1.2.1 openlog()

• ident 参数会被添加到每一条日志信息中,一般为程序的名字。

• option 参数支持以下的值,可通过或操作(OR)让其支持多个option :

option 说明
LOG_CONS 若日志无法通过Unix 域套接字送到syslog 守护进程,则将其输出到
console
LOG_NDELAY 立即打开至syslog 守护进程Unix 域套接字的连接,不要等到第一次调用
syslog 函数时才建立连接(通常情况下会在第一次调用syslog 时才建立连
接)
LOG_NOWAIT 不要等待在将消息计入日志过程中可能已经创建的子进程(GNU C 库中不
会创建子进程,因此该选项在Linux 中不会起作用)
LOG_ODELAYLOG_NDELAY 的相反,在第一次调用syslog 函数前不建立连接(这是默
认的行为,可以不显式指定该选项)
LOG_PERROR 将日志信息也输出到stderr
LOG_PID 在每条日志信息中添加上进程ID

• facility 参数用于指定当前应用程序的设施类型,为后续的syslog 调用指定一个设施的默认值。

该参数的存在意义是让syslog 守护进程可以通过配置文件对不同设施类型的日志信息做区分处理。如果应用程序没有调用openlog ,或是调用时facility 参数为0,

可在调用syslog 时将facility 作为priority 参数的一部分传进去。

facility 说明
LOG_AUTH 安全/授权信息
LOG_AUTHPRIV 安全/授权信息(私用)
LOG_CRON 定时相关的守护进程(cron 和at )
LOG_DAEMON 系统守护进程
LOG_FTP FTP 守护进程
LOG_KERN 内核信息(无法通过用户空间的进程产生)
LOG_LPT 行式打印机系统
LOG_MAIL 邮件系统
LOG_NEWS USENET 网络新闻系统
LOG_SYSLOG 有syslog 守护进程内部产生的消息
LOG_USER 任意的用户级消息(默认)
LOG_UUCP UUCP 系统
1.2.2 syslog()

priority 参数可以是上面提到的facility 与下面的level 的组合。level 的优先级从高到低依次排序如下:

level 说明
LOG_EMERG 0 紧急(系统不可用)(最高优先级)
LOG_ALERT 1 必须立即采取行动
LOG_CRIT 2 严重情况(如硬件设备出错)
LOG_ERR 3 出错情况
LOG_WARNING 4 警告情况
LOG_NOTICE 5 正常但重要的情况(默认值)
LOG_INFO 6 通告信息
LOG_DEBUG 7 调试信息(最低优先级)

1.3 rotate(转存/轮转)

很多时候都会让syslog 守护进程读取到的日志信息都写入到某个文件中,随着日志的增多,文件大小会不断增大。为了避免日志文件将存储空间占满,需要限制日

志文件的大小并删除过去的日志,该操作就称为rotate(转存/轮转)。

rotate 的实现一般如下:假设syslog 守护进程将日志写入到文件/var/run/messages,当messages 文件大小超过设定值时,会将messages 中的日志信息保存到

别的文件中(假设名字为messages.0),然后清空messages 的内容;当下一次messages 文件的大小又超过设定值时,会再一次将messages 中的内容保存为

messages.0,messages.0 中原有的内容则保存为messages.1。如此类推,若干次之后就会存在messages、messages.0、messages.1、… 、messages.n 几个

文件。一般会设置n 的最大值,超过该值的历史文件就会被删除,从而限制日志文件整体的大小。

我们可以自行编写脚本实现rotate,可以使用专门的工具logrotate,另外有一些syslog 守护进程的实现自带有rotate 的功能,如ubox 的logread 、busybox 的

syslogd 。

2 syslog 相关软件工具

2.1 ubox 的logd 与logread

ubox 是OpenWrt 的工具箱,它的syslog 系统由logd 与logread 两个工具实现(此处的logread是ubox 自己的实现,与下文busybox 提供的logread 不是同一个

工具)。

因为这两个工具是OpenWrt 原生自带,它们在使用上有可能会依赖于procd 和ubus ,目前尚未测试过在非procd init 的环境下是否可用。

使用procd init 时,它们通过开机脚本/etc/init.d/log 自启动,具体如下:

#!/bin/sh /etc/rc.common
# Copyright (C) 2013 OpenWrt.org
# start after and stop before networking
START=12
STOP=89
PIDCOUNT=0
USE_PROCD=1
PROG=/sbin/logread
OOM_ADJ=-17
validate_log_section()
{
    uci_validate_section system system "${1}" \
    'log_file:string' \
    'log_size:uinteger' \
    'log_ip:ipaddr' \
    'log_remote:bool:1' \
    'log_port:port:514' \
    'log_proto:or("tcp", "udp"):udp' \
    'log_trailer_null:bool:0' \
    'log_prefix:string'
}
validate_log_daemon()
{
    uci_validate_section system system "${1}" \
    'log_size:uinteger:0' \
    'log_buffer_size:uinteger:0'
}
start_service_daemon()
{
    local log_buffer_size log_size
    validate_log_daemon "${1}"
    [ $log_buffer_size -eq 0 -a $log_size -gt 0 ] && log_buffer_size=$log_size
    [ $log_buffer_size -eq 0 ] && log_buffer_size=16
    procd_open_instance
    procd_set_param oom_adj $OOM_ADJ
    procd_set_param command "/sbin/logd"
    procd_append_param command -S "${log_buffer_size}"
    procd_set_param respawn
    procd_close_instance
}
start_service_file()
{
    PIDCOUNT="$(( ${PIDCOUNT} + 1))"
    local pid_file="/var/run/logread.${PIDCOUNT}.pid"
    local log_file log_size
    validate_log_section "${1}" || {
        echo "validation failed"
        return 1
    }
    [ -z "${log_file}" ] && return
    procd_open_instance
    procd_set_param command "$PROG" -f -F "$log_file" -p "$pid_file"
    [ -n "${log_size}" ] && procd_append_param command -S "$log_size"
    procd_close_instance
}
start_service_remote()
{
    PIDCOUNT="$(( ${PIDCOUNT} + 1))"
    local pid_file="/var/run/logread.${PIDCOUNT}.pid"
    local log_ip log_port log_proto log_prefix log_remote log_trailer_null
    validate_log_section "${1}" || {
        echo "validation failed"
        return 1
    }
    [ "${log_remote}" -ne 0 ] || return
    [ -z "${log_ip}" ] && return
    procd_open_instance
    procd_set_param command "$PROG" -f -r "$log_ip" "${log_port}" -p "$pid_file"
    case "${log_proto}" in
    "udp") procd_append_param command -u;;
    "tcp") [ "${log_trailer_null}" -eq 1 ] && procd_append_param command -0;;
    esac
    [ -z "${log_prefix}" ] || procd_append_param command -P "${log_prefix}"
    procd_close_instance
}
service_triggers()
{
    procd_add_reload_trigger "system"
    procd_add_validation validate_log_section
}
start_service()
{
    config_load system
    config_foreach start_service_daemon system
    config_foreach start_service_file system
    config_foreach start_service_remote system
}

可见该脚本会通过config_load system 读取配置,然后将配置作为logd 和logread 的选项参数。具体的配置位于文件/etc/config/system 中。

更为详细的说明可参考OpenWrt 的官方文档Runtime Logging in OpenWrt 以及Systemconfiguration /etc/config/system 。

2.1.1 logd

logd 维护着一个固定大小的ring buffer(环形缓冲区),用于保存收集到的日志(包括内核的日志)。ring buffer 的大小通过-S 参数指定,可通过配

置/etc/config/system 中的log_buffer_size进行修改,单位为KB。

2.1.2 logread

logread 用于读取logd 的ring buffer 的内容,并输出到文件或网络上的远程机器(通过TCP/UDP 套接字)。它支持的选项有如下:

Usage: logread [options]
Options:
    -s <path> Path to ubus socket
    -l <count> Got only the last 'count' messages
    -e <pattern> Filter messages with a regexp
    -r <server> <port> Stream message to a server
    -F <file> Log file
    -S <bytes> Log size
    -p <file> PID file
    -h <hostname> Add hostname to the message
    -P <prefix> Prefix custom text to streamed messages
    -f Follow log messages
    -u Use UDP as the protocol
    -0 Use \0 instead of \n as trailer when using TCP

• 直接执行logread 会将当前ring buffer 中的日志全打印出来(类似于dmesg )。
• 加上-f 则会持续地运行着,并输出ring buffer 中新的日志。
• 使用-F “ l o g f i l e " 可指定将日志输出到哪一个文件中, − S " log_file" 可指定将日志输出到哪一个文件中,-S " logfile"可指定将日志输出到哪一个文件中,S"log_size” 可指定文件的大小,其中log_file 和log_size 都可在/etc/config/system 中进行设置。(实测发现其自带有rotate 的功能,当log_file 的大小超过log_size 时,会加上“.0” 后缀转存到同一个目录下,默认只保存一份历史文件。暂未发现是否可配置保存超过一份的历史转存文件。)

2.2 busybox 的syslogd、klogd 与logread

busybox 自带有一些syslog 工具,一般用到的主要为syslogd 、klogd 和logread (此处的logread与上文的ubox 的logread 不是同一个工具),均位于它

menuconfig 的“System LoggingUtilities” 下。

后文busybox 相关的内容均基于1.27.2 版本进行阐述。

2.2.1 syslogd

busybox 的syslogd 用于读取/dev/log 中的日志,并决定将其发送到文件、共享内存中的circular buffer 或网络等位置,且其自带有简单的rotate 功能。

它支持的特性可在menuconfig 中进行配置,将所有特性都选上后它支持的选项如下:

Usage: syslogd [OPTIONS]
System logging utility
    -n Run in foreground
    -R HOST[:PORT] Log to HOST:PORT (default PORT:514)
    -L Log locally and via network (default is network only if -R)
    -C[size_kb] Log to shared mem buffer (use logread to read it)
    -K Log to kernel printk buffer (use dmesg to read it)
    -O FILE Log to FILE (default: /var/log/messages, stdout if -)
    -s SIZE Max size (KB) before rotation (default 200KB, 0=off)
    -b N N rotated logs to keep (default 1, max 99, 0=purge)
    -l N Log only messages more urgent than prio N (1-8)
    -S Smaller output
    -D Drop duplicates
    -f FILE Use FILE as config (default:/etc/syslog.conf)

• 特性“Rotate message files”(FEATURE_ROTATE_LOGFILE)即为rotate 功能,对应
-s 指定日志文件的限制大小以及-b 指定保存多少份历史的转存文件。
• 特性“Remote Log support”(FEATURE_REMOTE_LOG)即为网络功能的支持,对应-R和-L 选项。
• 特性“Support -D (drop dups) option”(FEATURE_SYSLOGD_DUP)对应-D 选项,会丢弃掉内容相同的重复日志。判断日志是否相同不光看其主体信息,时间戳等附加的信息也会考虑在内,如“Jan 1 08:00:00 root: foobar” 和“Jan 1 08:00:01 root: foobar” 会被认为是两条不同的日志,只有完全相同的日志才会被丢弃掉。
• 特性“Support syslog.conf”(FEATURE_SYSLOGD_CFG)支持使用配置文件,默认为/etc/syslog.conf ,也可通过-f 指定其他的文件。可在配置文件中根据facility 与level 将日志输出到不同的目标位置,例子如下:

# 将所有日志输出到文件/var/log/messages

*.* /var/log/messages

# 将所有日志输出到console
*.* /dev/console
# 将facility 为LOG_KERN 的日志输出到/var/log/kernel
kern.* /var/log/kernel
# 将facility 为LOG_USER 且level 高于LOG_NOTICE 的日志输出到/var/log/user
user.notice /var/log/user

• 特性“Read buffer size in bytes”(FEATURE_SYSLOGD_READ_BUFFER_SIZE)用于设置syslogd 从/dev/log 中读取内容时的buffer 大小,它规定了单条日志消息的最大长度,超出的部分会被截断丢弃掉。
• 特性“Circular Buffer support”(FEATURE_IPC_SYSLOG)对应-C[size_kb] 选项,用于将日志送至共享内存的circular buffer 中, 可以通过logread 读取出来。circular buffer 的大小可通过“Circular buffer size in Kbytes (minimum 4KB)”(FEATURE_
IPC_SYSLOG_BUFFER_SIZE)进行设置。
• 特性“Linux kernel printk buffer support”(FEATURE_KMSG_SYSLOG)对应-K 选项,用于将日志输出到Linux 内核的printk buffer 中,可通过dmesg 读取出来。
• 剩余的一些选项:-O 用于指定直接将日志输出到哪个文件;-S 用于精简日志消息,去除hostname、facility、level 等内容,只保留时间戳、进程名字以及消息的内容部分。

**注意:**当前版本的syslogd 中-f 、-C 、-O 几个选项对应的功能是冲突的,无法同时使用。相关部分的代码如下(位于busybox/sysklogd/syslogd.c 的timestamp_and_log 函数中):

/* Log message locally (to file or shared mem) */
#if ENABLE_FEATURE_SYSLOGD_CFG
    {
        bool match = 0;
        logRule_t *rule;
        uint8_t facility = LOG_FAC(pri);
        uint8_t prio_bit = 1 << LOG_PRI(pri);
        for (rule = G.log_rules; rule; rule = rule->next) {
          if (rule->enabled_facility_priomap[facility] & prio_bit) {
            log_locally(now, G.printbuf, rule->file);
            match = 1;
        }
    }
    if (match)
    	return;
    }
#endif
	if (LOG_PRI(pri) < G.logLevel) {
#if ENABLE_FEATURE_IPC_SYSLOG
        if ((option_mask32 & OPT_circularlog) && G.shbuf) {
            log_to_shmem(G.printbuf);
            return;
        }
#endif
    	log_locally(now, G.printbuf, &G.logFile);
    }

可见使能了配置文件的特性后(对应宏ENABLE_FEATURE_SYSLOGD_CFG ),在读取配置文件并将日志写到目标位置后就直接return 了,不会再执行将日志输出

到共享内存区域(对应宏ENABLE_FEATURE_IPC_SYSLOG )或直接输出到某个文件(最后的那句log_locally(now, G.printbuf, &G.logFile) )的代码。

2.2.2 syslog.conf
2.2.2.1 syslog.conf 的格式

syslog.conf 文件指明syslogd 程序纪录日志的行为,该程序在启动时查询配置文件。

如果没有改配置文件的话,默认的会写到/var/log/messages 中。

该文件由不同程序或消息分类的单个条目组成,每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab 隔开:选择域指明消息的类型和优先级;动

作域指明syslogd 接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时,syslogd 将纪录一个拥有相同或

更高优先级的消息。所以如果指明“crit”,那所有标为crit、alert 和emerg 的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪

儿。

如下所示:

类型. 级别; 类型. 级别[TAB] 动作

2.2.2.2 类型facility:

保留字段中的“类型” 代表信息产生的源头,可以是:

auth 认证系统,即询问用户名和口令
cron 系统定时系统执行定时任务时发出的信息
daemon 某些系统的守护程序的syslog,如由in.ftpd产生的log
kern 内核的syslog信息
lpr 打印机的syslog信息
mail 邮件系统的syslog信息
mark 定时发送消息的时标程序
news 新闻系统的syslog信息
user 本地用户应用程序的syslog信息
uucp uucp子系统的syslog信息
local0..7 种本地类型的syslog信息,这些信息可以又用户来定义
\* 代表以上各种设备
2.2.2.3 级别priority:

保留字段中的“级别” 代表信息的重要性,可以是:

emerg 紧急,处于Panic状态。通常应广播到所有用户;
alert 告警,当前状态必须立即进行纠正。例如,系统数据库崩溃;
crit 关键状态的警告。例如,硬件故障;
err 其它错误;
warning 警告;
notice 注意;非错误状态的报告,但应特别处理;
info 通报信息;
debug 调试程序时的信息;
none 通常调试程序时用,指示带有none级别的类型产生的信息无需送出。如*.debug;mail.none表示调试时除
邮件信息外其它信息都送出。
2.2.2.4 动作action:

“动作” 域指示信息发送的目的地。可以是:

/filename 日志文件。由绝对路径指出的文件名,此文件必须事先建立;
@host 远程主机; @符号后面可以是ip,也可以是域名,默认在/etc/hosts文件下loghost这个别名已经指
定给了本机。
user1,user2 指定用户。如果指定用户已登录,那么他们将收到信息;

* 所有用户。所有已登录的用户都将收到信息。
2.2.2.5 具体实例:

我们来看看/etc/syslog.conf 文件中的实例:

……
*.err;kern.debug;daemon.notice;mail.crit [TAB] /var/adm/messages
……

这行中的“action” 就是我们常关心的那个/var/adm/messages 文件,输出到它的信息源头“selector”是:
• *.err - 所有的一般错误信息;
• kern.debug - 核心产生的调试信息;
• daemon.notice - 守护进程的注意信息;
• mail.crit - 邮件系统的关键警告信息

例如,如果想把所有邮件消息纪录到一个文件中,如下:

#Log all the mail messages in one place
mail.* /var/log/maillog

其他设备也有自己的日志。UUCP 和news 设备能产生许多外部消息。它把这些消息存到自己的日志(/var/log/spooler)中并把级别限为“err” 或更高。例如:

# Save mail and news errors of level err and higher in aspecial file.

uucp,news.crit /var/log/spooler

当一个紧急消息到来时,可能想让所有的用户都得到。也可能想让自己的日志接收并保存。

#Everybody gets emergency messages, plus log them on anther machine
*.emerg *
*.emerg @linuxaid.com.cn

alert 消息应该写到root 和tiger 的个人账号中:

#Root and Tiger get alert and higher messages
*.alert root,tiger

有时syslogd 将产生大量的消息。例如内核(“kern” 设备)可能很冗长。用户可能想把内核消息纪录到/dev/console 中。下面的例子表明内核日志纪录被注释掉了:

#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console

用户可以在一行中指明所有的设备。下面的例子把info 或更高级别的消息送到/var/log/messages,除了mail 以外。级别“none” 禁止一个设备:

#Log anything(except mail)of level info or higher
#Don't log private authentication messages!
*.info:mail.none;authpriv.none /var/log/messages

在有些情况下,可以把日志送到打印机,这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog 设备是一个攻击者的显著目标。一个为其他主机

维护日志的系统对于防范服务器攻击特别脆弱,因此要特别注意。有个小命令logger 为syslog(3)系统日志文件提供一个shell 命令接口,使用户能创建日志文件

中的条目。
用法:logger
例如:logger This is a test!
它将产生一个如下的syslog 纪录:Jan 1 00:08:49 TinaLinux user.notice root: this is a test!

2.2.3 klogd

busybox 的syslogd 无法直接获取到内核的日志信息,该功能需要通过klogd 实现。在运行syslogd之后再运行klogd 即可。

klogd 获取内核日志的方法有两种:1) 通过klogctl() 接口;2) 通过/proc 或设备节点。选用哪种方法可通过menuconfig 中的“Use the klogctl()

interface”(FEATURE_KLOGD_KLOGCTL)进行设置。

klogd 在获取到内核日志后,再通过syslog 函数将日志发送给syslog 守护进程。

注意:

虽然klogd 是使用openlog(“kernel”, 0, LOG_KERN) ,但从源码中的注释来看,在glibc 中LOG_KERN 可能会被替换为LOG_USER ,因此在使用klogd 过程中需要

注意,内核日志的facility 有可能为user而非kern。

2.2.4 logread

busybox 的logread 用于从syslogd 共享内存的circular buffer 中读取日志信息, 它需要syslogd 运行时带上-C[size_kb] 选项, 并且需要关闭支持配置文件的特性(FEATURE_SYSLOGD_CFG)。

2.3 syslog-ng

syslog-ng 是syslog 守护进程的又一种实现,它本身并不依赖于ubox 或busybox,是一个独立的应用软件。它支持更为丰富的配置项,可以对日志进行更为灵活

的处理。

syslog-ng 的配置文件为/etc/syslog-ng.conf , 详细的语法可参考官方文档https://www.syslog-ng.com/technical-documents/list/syslog-ng-open-source-edition ,下面是一份配置的例子:

@version:3.9
options {
    chain_hostnames(no);
    create_dirs(yes);
    flush_lines(0);
    keep_hostname(yes);
    log_fifo_size(256);
    log_msg_size(1024);
    stats_freq(0);
    flush_lines(0);
    use_fqdn(no);
    time_reopen(1); # 连接断开后等待多少秒后重新建立连接(默认为60 秒)
    keep_timestamp(no); # 不保存日志信息自带的时间戳,用syslog-ng 收到该日志的时间作为时间戳
};
# 定义一个template,可使用template 对日志的各部分内容进行处理
# 使用了此处的template 的日志,会只显示时间戳、日志头部(程序名字等)以及主体信息,
# 相比于默认的日志信息会少了主机名
template t_without_hostname {
    template("${DATE} ${MSGHDR}${MESSAGE}\n");
};
# 定义日志的source,即从哪里获取日志
# 此处表示从syslog-ng 内部以及通过Unix 数据报套接字从/dev/log 获取日志
source src {
    internal();
    unix-dgram("/dev/log");
};
# 从/proc/kmsg 中获取内核的日志
source kernel {
	file("/proc/kmsg" program_override("kernel"));
};
# 定义日志的destination,即将日志送往哪里
# 此处表示将日志输出到文件/var/log/messages,并使用刚刚定义的template 去掉主机名
destination messages {
file("/var/log/messages" template(t_without_hostname));
};
# 将日志输出到console,并使用刚刚定义的template 去掉主机名
destination console {
	file("/dev/console" template(t_without_hostname));
};
# 定义log,用于决定将哪些source 的日志送往哪些destination
log {
    source(src);
    source(kernel);
    destination(messages);
    destination(console);
};

直接执行命令syslog-ng 即可运行syslog-ng,下面是一个procd 式自启动脚本的例子:

#!/bin/sh /etc/rc.common
# Copyright (C) 2006-2016 OpenWrt.org
START=50
STOP=99
USE_PROCD=1
start_service() {
    [ -f /etc/syslog-ng.conf ] || return 1
    procd_open_instance
    procd_set_param command /usr/sbin/syslog-ng
    procd_close_instance
}
stop_service() {
	/usr/sbin/syslog-ng-ctl stop
}
reload_service() {
    stop
    start
}

syslog-ng 自身并不具备rotate 的功能,无法限制日志文件的大小,一般会通过logrotate 或自行编写脚本实现。

2.4 logrotate

logrotate 是专门用于对日志文件进行rotate 的工具,支持将日志文件进行压缩、转存到不同目录等特性。

使用logrotate 时需要加上配置文件的路径,如logrotate /etc/logrotate.conf ,配置文件的语法可

参考https://jlk.fjfi.cvut.cz/arch/manpages/man/logrotate.8 。

通常可在配置文件中使用include 命令将某个路径下所有的配置文件都包含进来,如在/etc/logrotate.conf 中加上一句include /etc/logrotate.d 可包

含/etc/logrotate.d 目录下的配置文件,然后该目录下可以按照不同应用、不同日志文件对配置文件进行区分,方便解耦。

以下是针对某一份日志文件进行单独配置的例子:

# 针对文件的/var/log/messages 的配置,花括号中的配置项可覆盖全局配置
/var/log/messages {
    hourly # 每小时均进行转存(实测转存周期小于一小时也可成功运行,
    # 但如果设为daily、weekly 等貌似在转存周期太短时会执行失败)
    size 2M # 文件在大于2M 时才会转存
    rotate 9 # 保存9 份历史转存日志文件
    olddir /data # 被转存的历史日志文件会保存到/data 目录下
    createolddir # 若历史日志文件的目标目录不存在则会自动创建
    compress # 对历史日志文件进行压缩(默认使用gzip)
    copytruncate # 在转存时对原始日志文件复制一份后再进行截断,对复制后的文件进行转存;
    # 而不是直接将原始日志文件移动到目标路径,避免原始日志文件的inode 发生变化。
}

注意事项:

  1. 配置文件的权限需要为0644 或0444 ,否则logrotate 执行时会有以下报错:
error: Ignoring XXX because of bad file mode - must be 0644 or 0444.
  1. logrotate 本身属于单次执行后就退出的应用程序,并非守护进程,需要借助其他守护进程(如crond )定期来执行。下面是/etc/crontabs/root 的一个示例,让root 用户每隔3 分钟执行一次logrotate :
*/3 * * * * /usr/sbin/logrotate /etc/logrotate.conf
  1. 一般都需要配置为copytruncate ,除非当前使用的syslog 守护进程支持重新打开日志文件的特性(如busybox 的syslogd 每秒都会重新打开日志文件),否则默认logrotate 进行rotate 时会直接对原始日志文件进行重命名,再创建一个与原始日志文件同名的空白文件,此时日志文件虽然名字相同但inode 不同,而syslog 守护进程还是继续操作原本的inode,导致后续的日志没有正确地写入。

  2. 配置为copytruncate 时需要确保rotate 时刻剩余的可用空间大于原始日志文件的大小。因为copytruncate 需要先将日志文件复制一份后再进行rotate,若剩余空间不足导致复制操作失败,后续的整个rotate 过程也无法完成。

2.5 logger

logger 用于在shell 中向syslog 守护进程发送消息,使用方法类似于echo 命令:

logger "foobar"

3 不同syslog 方案的对比

以下针对将本地syslog 日志写入到本地文件中的这一需求,对不同的syslog 方案进行对比。

3.1 ubox logd + logread

优点:
• OpenWrt 原生自带,稍作配置即可使用。
• 自带获取内核日志以及简单的rotate 功能。
• 不同于busybox 的logread ,ubox 的logread 可同时支持将日志写入文件和从ring buffer 中读取日志的功能。

缺点:
• 依赖于procd 与ubus 。(未测试过在缺少这两者的情况下是否可用)
• rotate 功能只支持将日志文件转存到相同目录下,且只保存一份历史文件,无压缩功能。(未发现有配置项可进行相关的设置)

3.2 busybox syslogd + klogd

优点:
• syslogd 自带rotate 功能。在每次往文件写入日志之前,都会先检查文件大小是否已经超过设定的上限值,若是,则执行rotate 操作。因为文件大小的检查是在写入日志的时候进行,而非按一定的时间间隔进行,可保证进行rotate 时日志文件不会超出上限值很多。且因为写入日志与rotate 是在同一进程中实现,对日志文件进行转存时直接重命名即可,不需要再复制一份,在对剩余可用空间的限制上没有logrotate 的copytruncate 那么大。

• syslogd 会保证每秒都重新打开日志文件,不需要担心文件的inode 改变,清空日志时可随意删除日志文件,新的日志文件在下一秒就能继续正常地写入日志。

缺点:

• syslogd 本身不含获取内核日志的功能,需要额外运行klogd 来支持。
• syslogd 不支持自定义前缀、rotate 时压缩的功能,且只能将日志文件转存到同一个目录下,无法自定义目标路径。
• 将日志写入到文件的同时无法使用logread 。

3.3 syslog-ng + logrotate

优点:
• syslog-ng 自身功能比较强大,可更为灵活地对日志进行修改、过滤,且自身带有获取内核日志的功能。
• logrotate 能实现更为灵活的rotate 功能,如自定义目标路径、压缩日志文件等。

缺点:
• syslog-ng 本身无法监视文件大小,无法通知logrotate 进行rotate,只能依赖crond 等守护进程定期地执行logrotate ,需要权衡好日志的增长速度和定期检查的时间间隔,否则存储空间有可能会被日志占满。
• 日志文件的inode 不能随意地被改变,否则syslog-ng 可能无法正确地写入日志。因此:
• logrotate 需要配置为copytruncate ,在rotate 时存在“复制文件” 这一过程,对剩余的存储空间有一定的要求,否则rotate 过程会失败。
• 手动清空日志文件内容时不能直接删除日志文件,需要使用类似下面的命令:

echo > /var/log/messages

4 其他一些的注意事项

4.1 Unix 域套接字(Unix domain socket)是可靠的

syslog 是靠Unix 域套接字实现IPC(Inter-Process Communication,进程间通信),协议族为AF_LOCAL (或AF_UNIX ),不管套接字的类型为字节流

(SOCK_STREAM )还是数据报(SOCK_DGRAM),它都是可靠的,在使用Unix 域套接字通信的过程中,如果读操作一端阻塞且缓冲区满了,写操作的一端也同

样会阻塞,在此过程中不会有数据被丢弃。

因此,当syslog 守护进程因为某些原因阻塞或运行耗时变长时,若此时缓冲区已经满了,有可能会影响到调用syslog 函数的应用程序的性能。应用程序在设计时就

需要考虑syslog 函数可能的影响,不能无节制地使用syslog 函数进行打印,也不能认为它总会很快地就执行完。

关于缓冲区,应该跟内核的套接字设置有关。对于Unix 域数据报套接字,从测试结果来看/proc/sys/net/unix/max_dgram_qlen 会影响其缓冲区大小,但具体的

机制还不清楚。它的默认值为10,可使用sysctl 进行修改:

sysctl -w net.unix.max_dgram_qlen=XX

5 在Tina 中使用syslog

5.1 ubox 的logd 与logread

一般使用procd init 的方案都会默认选上这两个工具。

logd 由PACKAGE_logd 提供,menuconfig 中的位置为:

make menuconfig --->
    Base system --->
    	<*> logd

syslog函数,全志Tina-Linux,linux,unix,服务器

图5-1: logd 配置图

logread 由PACKAGE_ubox 提供,menuconfig 中的位置为:

make menuconfig --->
    Base system --->
    	<*> ubox

syslog函数,全志Tina-Linux,linux,unix,服务器

图5-2: ubox 配置图

它们的开机脚本/etc/init.d/log 由PACKAGE_logd 提供;配置项位于文件/etc/config/system 中,默认由PACKAGE_base-files 提供,若想修改默认的配置,可以在

target/allwinner/<方案名字>/base-files/etc/config/ 目录下放置一份自定义的system 以覆盖默认的文件。

5.2 busybox 的syslogd、klogd 与logread

busybox 的syslog 工具在menuconfig 中的位置为:

make menuconfig --->
    Base system --->
        busybox --->
            System Logging Utilities --->
                [*] klogd
                *** klogd should not be used together with syslog to kernel printk buffer ***
                [*] Use the klogctl() interface
                [*] logger
                [*] logread
                [*] Double buffering
                [*] syslogd
                [*] Rotate message files
                [ ] Remote Log support
                [*] Support -D (drop dups) option
                [*] Support syslog.conf
                (256) Read buffer size in bytes
                [*] Circular Buffer support
                (4) Circular buffer size in Kbytes (minimum 4KB)
                [*] Linux kernel printk buffer support

对应配置项的内容请参考前文的章节。

busybox 的syslog 工具没有自带开机脚本,若想开机自启需要自行编写, 在rc.final 增加开机自启动,如下:

#挂载sd卡
mount /dev/mmcblk0p1 /mnt/sdcard/
mkdir /mnt/sdcard/log
#开启rotate功能,每个log大小问4M,最多记录10个
syslogd -s 4096 -b 10 &
sleep 1
#同时记录kernel的log
klogd &

创建/etc/syslog.conf 文件,把log 文件记录到sd 卡中,内容如下:

*.* /mnt/sdcard/log/message

5.3 syslog-ng

syslog-ng 在menuconfig 中的位置为:

make menuconfig --->
    Administration --->
    	<*> syslog-ng

syslog函数,全志Tina-Linux,linux,unix,服务器

图5-3: syslog-ng 配置图

它自带有一份procd 式的开机脚本(会自动拷贝到小机端)以及一份配置文件的范例(不会自动拷贝到小机端),均位于package/admin/syslog-ng/files 目录

下。可以参考配置文件范例syslog-ng.conf_example 自定义一份syslog-ng.conf 放到小机端的/etc 目录下。

5.4 logrotate

logrotate 在menuconfig 中的位置为:

make menuconfig --->
    Utilities --->
    	<*> logrotate

syslog函数,全志Tina-Linux,linux,unix,服务器

图5-4: logrotate 配置图

它自带有一份配置文件logrotate.conf ,位于package/utils/logrotate/files 目录下,会自动拷贝到小机端的/etc 目录下。

配置文件带有一些全局的配置项,并且会include /etc/logrotate.d ,因此自定义的配置可放置在小机端的/etc/logrotate.d 目录下,执行logrotate

*.* /mnt/sdcard/log/message

5.3 syslog-ng

syslog-ng 在menuconfig 中的位置为:

make menuconfig --->
    Administration --->
    	<*> syslog-ng

[外链图片转存中…(img-Ht2yt40X-1677205584554)]

图5-3: syslog-ng 配置图

它自带有一份procd 式的开机脚本(会自动拷贝到小机端)以及一份配置文件的范例(不会自动拷贝到小机端),均位于package/admin/syslog-ng/files 目录

下。可以参考配置文件范例syslog-ng.conf_example 自定义一份syslog-ng.conf 放到小机端的/etc 目录下。

5.4 logrotate

logrotate 在menuconfig 中的位置为:

make menuconfig --->
    Utilities --->
    	<*> logrotate

[外链图片转存中…(img-QeB1vkWK-1677205584555)]

图5-4: logrotate 配置图

它自带有一份配置文件logrotate.conf ,位于package/utils/logrotate/files 目录下,会自动拷贝到小机端的/etc 目录下。

配置文件带有一些全局的配置项,并且会include /etc/logrotate.d ,因此自定义的配置可放置在小机端的/etc/logrotate.d 目录下,执行logrotate

/etc/logrotate.conf 时会被自动调用到(注意文件的权限需要为0644 或0444 )。文章来源地址https://www.toymoban.com/news/detail-759422.html

到了这里,关于Tina_Linux_syslog_使用指南的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【Shell 命令集合 系统管理 】⭐⭐⭐Linux 重启 reboot命令 使用指南

    Shell 命令专栏:Linux Shell 命令全解析 reboot命令是Linux操作系统中用于重新启动系统的命令。当系统出现问题或需要重新加载配置时,使用reboot命令可以快速重启系统,使新的配置生效。 使用reboot命令会关闭系统中的所有进程,并重新加载操作系统。在重启过程中,系统会执行

    2024年02月04日
    浏览(149)
  • NOI Linux 2.0 CSP奥赛复赛环境安装使用指南

    以下是可能导致你在老版 NOI Linux 系统下形成的习惯在新版下翻车的改动。 移除了 GUIDE 从 32bit 变为了 64bit 系统,需要注意指针现在占 8 字节而不是 4 字节 更新了编译器版本 默认情况下右键没了【新建文件】的选项 桌面目录改为中文,可能会导致一些程序无法运行 系统基于

    2024年02月07日
    浏览(35)
  • 【Shell 命令集合 磁盘管理 】Linux 创建目录 mkdir 命令使用指南

    Shell 命令专栏:Linux Shell 命令全解析 mkdir命令是Linux系统中的一个用于创建目录的命令。它的作用是在指定的路径下创建一个新的目录。 使用mkdir命令可以方便地创建一个空的目录,该目录可以用于存储文件或其他目录。通过指定路径参数,可以在当前工作目录或其他指定目

    2024年02月08日
    浏览(60)
  • 【Shell 命令集合 文件管理】Linux 读取命令 read命令使用指南

    Shell 命令专栏:Linux Shell 命令全解析 在Linux中, read 命令用于从标准输入或者文件中读取输入,并将其赋值给一个变量。它的基本语法如下: 选项可以是以下之一: -p :指定一个提示符,用于提示用户输入。 -r :取消对反斜杠的转义,保留其原始含义。 -t :设置等待用户输

    2024年02月04日
    浏览(69)
  • 【Shell 命令集合 系统管理 】Linux 删除用户 userdel 命令 使用指南

    Shell 命令专栏:Linux Shell 命令全解析 userdel命令是Linux系统中的一个用于删除用户的命令。它的作用是删除指定的用户账号以及与之相关的用户组、用户主目录和系统文件。 用户账号是Linux系统中的一个重要概念,它用于标识一个用户的身份。每个用户账号都有一个唯一的用户

    2024年02月05日
    浏览(61)
  • 【Shell 命令集合 文件管理】Linux 拷贝命令 cp命令使用指南

    Shell 命令专栏:Linux Shell 命令全解析 cp命令是Linux中常用的文件复制命令,用于将一个或多个文件或目录复制到指定的目标位置。其基本语法如下: 其中, 源文件 表示要复制的文件或目录的路径, 目标文件 表示复制后的文件或目录的路径。 常用选项包括: -r :递归复制整

    2024年02月10日
    浏览(113)
  • 【Shell 命令集合 系统管理 】⭐⭐Linux 让进程休眠 sleep命令 使用指南

    Shell 命令专栏:Linux Shell 命令全解析 在Linux中,sleep命令用于在一段指定的时间内暂停当前进程的执行。它的作用是让进程休眠,暂停执行一段时间,然后继续执行后续的指令。 使用sleep命令可以在脚本中设置延迟,以便在执行后续操作之前等待一段时间。这对于需要在特定

    2024年02月07日
    浏览(67)
  • 【Shell 命令集合 网络通讯 】Linux 串口通信 minicom命令 使用指南

    Shell 命令专栏:Linux Shell 命令全解析 minicom是一个在Linux中用于串口通信的命令行工具。它提供了一个交互式的终端界面,可以通过串口与其他设备进行通信,如调试串口设备、路由器、嵌入式系统等。 使用minicom命令,可以实现以下功能: 串口通信:minicom可以通过串口与其

    2024年02月08日
    浏览(50)
  • 【Shell 命令集合 系统设置 】⭐⭐⭐Linux 置环境变量 export命令 使用指南

    Shell 命令专栏:Linux Shell 命令全解析 export命令是Linux中的一个内建命令,用于设置环境变量。环境变量是在操作系统中用于存储各种配置信息的一种机制。通过设置环境变量,可以影响系统的行为和程序的运行。 使用export命令,可以将一个变量从当前shell传递到子shell或其他

    2024年02月05日
    浏览(67)
  • 【Shell 命令集合 系统管理 】Linux 终端复用工具 screen命令 使用指南

    Shell 命令专栏:Linux Shell 命令全解析 screen命令是一个在Linux操作系统中使用的终端复用工具。它允许用户在一个终端窗口中同时运行多个终端会话,并且可以在这些会话之间自由切换。 screen命令的主要作用是提供一个“会话管理器”,可以在一个终端窗口中创建多个虚拟终端

    2024年02月05日
    浏览(69)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包