排除在外。就像它在编程时的用法一样，叹号意味着“非”
4操作动作
日志信息可以分别记录到多个文件里，还可以发送到命名管道、其他程序甚至另一台机
器。syslog配置文件并不复杂，既容易阅读又容易操作使用。这个文件里的注释都非常有用，
应该好好读读它们。
建立一个中央日志服务器
个旧的key定义，等同于auth，已经不再建议使用。
2优先级
优先级是选择条件的第二个字段，它代表消息的紧急程度。对一个应用程序来说，它发
出的哪些消息属于哪一种优先级是由当初编写它的程序员决定的，应用程序的使用者只能接
受这样的安排一一除非打算重新编译系统应用程序。表2按严重程度由低到高的顺序列出了
所有可能的优先级。
3.生成消息的子系统的名字。 可以是”kernel
表示发出消息的程序的名字。在方括号里的是进程的
4.消息(message)，剩下的部分就是消息的内容。
syslog配置文件
syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文 件。syslog守护进程是可配置的，它允许人们为每一种类型的系统信息精确地指定一个存放 地点。现在，我们先看看syslog.conf文件的配置行格式(这个文件里的每一个配置行都是 同样的格式)，然后再看一个完整的syslog配置文件。syslog配置行的格式如下所示：
mail.*/var/log/mail这一行由两个部分组成。第一个部分是一个或多个 设备后面跟一些空格字符，然后是一个“操作动作”
1设备 设备本身分为两个字段，之间用一个小数点( 段是一个优先级。 设备其实是对消息类型的一种分类， 发送到不同的地方。在同一个 的syslog配置文件示例里看到同时有多个设备的配置行。 下面列出了绝大多数Linux操作系 统变体都可以识别的设备。
syslog是Linux的日志子系统，日志文件详细地记录了系统每天发生的各种各样的事件。 用户可以通过日志文件检查错误产生的原因， 或者在受到攻击和黑客入侵时追踪攻击者的踪 迹。日志的两个比较重要的作用是：审核和监测。
配置syslog中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上，便于对 集群中机器的管理与检查
mark—syslog内部功能用于生成时间戳
n ews—来自新闻服务器的信息
syslog—由syslog生成的信息
user—由用户程序生成的信息
uuc P—由UUC P生成的信息
Iocal0-local7—与自定义程序使用
*通配符代表除了mark以外的所有功能。除mark为内部使用外，还有security为
不同的服务类型有不同的优先级，数值较大的优先级涵盖数值较小的优先级。如果某个
选择条件只给出了一个优先级而没有使用任何优先级限定符，对应于这个优先级的消息以及
所有更紧急的消息类型都将包括在内。比如说，如果某个选择条件里的优先级是“warning”,
它实际上将把“warning”、“err”、“crit”、“alert”和“emerg” 都包括在内。
就像它在编程时的用法一样，等号意味着等于且仅等于。叹号（！）的含义是
生成的所有日志消息都发送到操作动作指定的地点，但本优先级的消息不包括在内” 说，这条syslog配置行将把除info优先级以外的所有消息发送到/var/log/mail
mail.*;mail.!i nfo/var/log/mail
在这个例子里，“mail.*”将发送所有的消息，但“mail.!info”却把info
level级别
level定义消息的紧急程度。按严重程度由高到低顺序排列为:emerg—该系统不可用，等同panic
alert—需要立即被修改的条件
crit-阻止某些工具或子系统功能实现的错误条件
err-阻止工具或某些子系统部分功能实现的错误条件，等同warni ng—预警信息，等同warn
notice-具有重要性的普通条件
auth－由pam_pwdb报告的认证活动。authpriv－包括特权信息如用户名在内的认证活动
cron—与cron和at有关的计划任务信息。
daemon—与inetd守护进程有关的后台进程信息。
kern—内核信息，首先通过klogd传递。
Ipr—与打印服务有关的信息。
mail—与电子邮件有关的信息
星号代表“任何东西”。在前面给出的例子里，“mail.*”将把所有优先级的消息都发送到操 作动作指定的/var/log/mail文件里。使用“*”限定符与使用“debug”优先级的效果完全一 样，后者也将把所有类型的消息发送到指定地点。
等号（=）的含义是“只把本项服务生成的本优先级的日志消息都发送到操作动作指定 的地点”。比如说，可以用“=”限定符只发送调试消息而不发送其他更紧急的消息（这将 为应用程序减轻很多负担）。当你只需要发送特定优先级别的消息时，就要使用等号限定符。
info—提供信息的消息
debug—不包含函数条件或问题的其他信息
none—没有重要级，通常用于排错
3优先级限定符syslog允许人们使用三种限定符对优先级进行修饰：星号（ 熟悉规则表达式的读者应该对这三种限定符不会感到陌生。星号（ 务生成的所有日志消息都发送到操作动作指定的地点”。就像它在规则表达式里的作用一样,
Linux系统所有的日志文件都在/var/log下，且必须有root权限才能察看。 日志文件其实 是纯文本的文件，每一行表示一个消息,而且都由四个域的固定格式组成: 1.时间标签(timestamp)，表示消息发出的日期和时间。
2.主机名(hostname)，表示生成消息的计算 可能没有必要了。但是如果在网络环境中使用 送到一台服务器上集中处理。
syslog日志服务器配置步骤 一．作用
Linux系统的日志主要分为两种类型
1.进程所属日志： 由用户进程或其他系统服务进程自行生成的日志，比如服务器上的access_log与error_log日志文件。
2.syslog消息： 系统syslog记录的日志，任何希望记录日志的系统进程或者用户进程 都可以给调用syslog来记录日志。Syslog程序就是用来记录这类日志的。