在ubuntu中要看ssh登录日志会发现是没有secure日志文件的,而是auth.log文件,实际这是由于centos和ubuntu配置的日志名称不一样。
下面是两者的区别。
# ubuntu中的配置 auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog kern.* -/var/log/kern.log mail.* -/var/log/mail.log mail.err /var/log/mail.err *.emerg :omusrmsg:* # centos中的配置 *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log
# 参数解释
# *.* 含义 第一个*代表所有设施代码 以下是一些常见的日志设施: kern - 内核消息 user - 用户级别消息 mail - 邮件系统 daemon - 系统守护进程 auth - 安全/认证消息 syslog - syslogd 生成的消息 lpr - 行打印子系统 news - 网络新闻子系统 uucp - UUCP 子系统 cron - 计划任务子系统 authpriv - 安全/认证消息(私有) ftp - FTP 守护进程 第二个*代表日志级别 在 syslog 中,每条日志消息都会根据其重要性被赋予一个优先级。这些优先级从最高到最低依次是: emerg(紧急): 表示系统不可用的紧急情况。 alert(警报): 需要立即采取行动的情况。 crit(严重): 表示重要系统组件的严重问题。 err(错误): 非紧急的故障。 warning(警告): 警告信息,可能会导致错误。 notice(通知): 正常但值得注意的事件。 info(信息): 一般性的信息性消息。 debug(调试): 调试信息,通常只在开发时使用。 # none含义 auth.none表示不记录任何auth设施代码的日志消息。用于排除特定设施代码的日志,以避免重复记录或将其记录到不同的文件中。 例如,在配置*.*;auth,authpriv.none -/var/log/syslog中, *.*会匹配所有消息,但是auth,authpriv.none会排除所有auth和authpriv设施的日志,这样它们就不会被记录 # , ; 逗号分号含义 逗号代表“和”的关系,比如auth,authpriv.* 就是auth和authpriv的所有级别日志 分号代表“排除”,比如*.*;auth,authpriv.none就是匹配所有设施代码的所有级别日志,但是排除auth和authpriv的所有日志 # - 减号含义 在rsyslog配置文件中,减号 - 代表使用异步方式写入日志。 这意味着日志消息会先被存储在内存中,然后在稍后的某个时间点批量写入磁盘。 这种方法可以减少磁盘I/O操作,提高性能,但如果系统突然崩溃,可能会丢失那些还没有被写入磁盘的日志消息
设施代码是在rsyslog配置中用来指定日志消息来源的标识符。这些代码帮助将日志消息分类,以便于管理和分析。
在UNIX和类UNIX系统中,日志消息被分为不同的设施,每个设施代表了系统的一个特定部分或者应用程序。
例如,kern代表内核消息,mail代表邮件系统消息,而auth代表认证系统消息。这些设施代码是根据标准和系统实现预定义的
而local0到local7是为本地使用保留的,可以由系统管理员自定义用途。
原创文章,转载请注明。本文链接地址: https://www.rootop.org/pages/5430.html