rsyslogd
отвечает за сбор служебных сообщений от приложений и ядра и дальнейшее распределение их по файлам журналов (обычно хранящимся в каталоге /var/log/
). Он управляется конфигурационным файлом /etc/rsyslog.conf
.
auth
и authpriv
: для аутентификации;
cron
: от сервисов планировки заданий, cron
и atd
;
daemon
: относится к демонам, не выделенным в особую группу (DNS, NTP и т. д.);
ftp
: относится к FTP-серверу;
kern
: сообщение от ядра;
lpr
: от подсистемы печати;
mail
: от подсистемы электронной почты;
news
: сообщение подсистемы Usenet (в частности от сервера NNTP — Network News Transfer Protocol — управляющего новостными группами);
syslog
: сообщения от самого сервера syslogd
;
user
: пользовательские сообщения (основные);
uucp
: сообщения от сервера UUCP (Unix to Unix Copy Program, старый протокол, широко использовавшийся для распространения сообщений электронной почты);
local0
по local7
: зарезервированы для локального использования.
emerg
: “Помогите” Возникла аварийная ситуация, система возможно непригодна для использования.
alert
: поспешите, промедление небезопасно, нужно срочно принимать меры;
crit
: условия критические;
err
: ошибка;
warn
: предупреждение (возможная ошибка);
notice
: условия нормальные, но сообщение важное;
info
: информационное сообщение;
debug
: сообщение для отладки.
/etc/rsyslog.conf
описан на странице руководства rsyslog.conf(5), но также есть и документация в формате HTML, доступная в пакете rsyslog-doc (/usr/share/doc/rsyslog-doc/html/index.html
). Общий принцип состоит в написании пар «селектор» и «действие». Селектор определяет подмножество сообщений, а действия описывают, что с ними делать.
подсистема.приоритет
(пример: auth.notice;mail.info
). Звёздочка может означать все подсистемы или все приоритеты (примеры: *.alert
или mail.*
). Несколько подсистем можно сгруппировать, разделяя их запятой (пример: auth,mail.info
). Указанный приоритет подразумевает сообщения того же или более высокого уровня; так, auth.alert
соответствует сообщениям подсистемы auth
с приоритетом alert
или emerg
. Если в начале стоит восклицательный знак, такая запись означает прямо противоположное, то есть строго более низкие приоритеты; auth.!notice
, таким образом, означает сообщения от auth
с приоритетом info
или debug
. Если в начале стоит знак равенства, такая запись означает точное соответствие указанному приоритету и только ему (auth.=notice
соответствует сообщениям от auth
с приоритетом notice
).
kern.info;kern.!err
означает сообщения от ядра с приоритетом между info
и warn
. Приоритет none
указывает на пустую выборку (нет приоритетов) и может использоваться для исключения подсистемы из выборки сообщений. Так, *.crit;kern.none
означает все сообщения с приоритетом, равным или более высоким, чем crit
, исходящим не от ядра.
/var/log/messages
);
syslog
(пример: @log.falcot.com
);
|/dev/xconsole
);
root,rhertzog
);
*
);
/dev/tty8
).