Tutti i messaggi di sistema e del kernel vengono passati a rsyslogd. Per ogni messaggio di registro ricevuto, Rsyslog esamina il suo file di configurazione, /etc/rsyslog.conf per determinare come gestire quel messaggio. Rsyslog cerca nel file di configurazione tutte le istruzioni di regola che corrispondono a quel messaggio e gestisce il messaggio come richiesto da ciascuna istruzione di regola. Se nessuna istruzione di regola corrisponde al messaggio, Rsyslog lo elimina. Le istruzioni delle regole specificano due cose:
1. quali messaggi abbinare (selettori) e
2. cosa fare con i messaggi corrispondenti (azioni).
Selettori
I messaggi da abbinare sono specificati da un selettore che abbina strutture e priorità, mentre le azioni da applicare ai messaggi abbinati sono specificate da un campo azione. Ad esempio, la seguente riga di configurazione dice a Rsyslog di applicare l'azione /var/log/kernlog a tutti i messaggi con una funzione di kern e un livello di debug:
# cat /etc/rsyslog.conf kern.debug /var/log/kernlog
Le istruzioni di priorità nei selettori sono gerarchiche. Rsyslog corrisponderà a tutti i messaggi con priorità specificata e superiore. Il selettore kern.debug abbina tutti i messaggi prodotti dal kernel con priorità debug o superiore; poiché il debug è la priorità più bassa possibile, il selettore kern.debug abbina tutti i messaggi con una funzione kern. Inoltre, un asterisco può essere utilizzato come carattere jolly per rappresentare tutte le priorità, quindi kern.* corrisponderebbe anche a tutti i messaggi prodotti dal kernel.
A differenza del campo priorità, il campo struttura non è gerarchico. Tuttavia, è ancora possibile abbinare più messaggi da strutture diverse. È possibile elencare più selettori su una riga, separati da punto e virgola. Questo può essere utile quando la stessa azione deve essere applicata a più messaggi. Allo stesso modo, il carattere jolly asterisco può essere utilizzato per specificare tutte le funzionalità, fornendo un altro metodo per applicare un'azione a una varietà di messaggi.
Strutture e priorità Syslog
La funzione viene utilizzata per specificare quale tipo di programma sta generando il messaggio. Il demone Syslog può quindi essere configurato per gestire i messaggi provenienti da origini diverse in modo diverso. Questa tabella elenca le strutture definite standard con brevi descrizioni di ciò per cui vengono utilizzate:
| Struttura | Descrizione |
|---|---|
| auth/authpriv | messaggi di sicurezza/autorizzazione |
| cron | Messaggi dei demoni crond e atd |
| demone | altri demoni di sistema |
| crema | messaggi del kernel |
| local0 – local7 | riservato per uso locale |
| lpr | sottosistema stampante di linea |
| posta | sottosistema di posta |
| notizie | Sottosistema di notizie USENET |
| syslog | messaggi generati internamente dal demone del log di sistema |
| utente | messaggi generici a livello di utente |
| uucp | Sottosistema UUCP |
La priorità, o livello, di un messaggio ha lo scopo di determinare l'importanza di un messaggio. Questa tabella elenca i livelli di priorità standard con brevi descrizioni dei loro significati:
| Priorità | Descrizione |
|---|---|
| emerge | il sistema è inutilizzabile |
| avviso | l'azione deve essere intrapresa immediatamente |
| critico | condizioni critiche |
| err | condizioni di errore |
| avviso | condizioni di avviso |
| avviso | condizione normale, ma significativa |
| informazioni | messaggi informativi |
| debug | debug dei messaggi |
Azioni
Molte azioni sono possibili, anche se solo una può essere inclusa in una regola:
- I nomi dei file possono essere elencati nel campo dell'azione, specificando la posizione dei file in cui deve essere scritto il messaggio selezionato. Questi file possono essere file di testo, come di solito accade, ma possono anche essere file di dispositivo come un terminale o una stampante.
- È anche possibile specificare nomi utente. Se l'utente indicato è connesso al sistema quando Rsyslog elabora il messaggio, il messaggio verrà stampato su tutti i terminali di quell'utente.
- Un asterisco per l'azione dice a Rsyslog di scrivere il messaggio a tutti gli utenti che hanno effettuato l'accesso (va a tutti i terminali attivi).
- I messaggi possono essere inviati a host remoti. L'azione @host dice a Rsyslog di inoltrare il messaggio all'host della macchina, dove verrà nuovamente elaborato dal demone Syslog di quell'host.
File /etc/rsyslog.conf predefinito
Di seguito è riportato il file di configurazione /etc/rsyslog.conf predefinito in CentOS 6.
# cat /etc/rsyslog.conf # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html #### MODULES #### $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) #$ModLoad immark # provides --MARK-- message capability # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 #### GLOBAL DIRECTIVES #### # Use default timestamp format $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # File syncing capability is disabled by default. This feature is usually not required, # not useful and an extreme performance hit #$ActionFileEnableSync on # Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf #### RULES #### # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log # ### begin forwarding rule ### # The statement between the begin ... end define a SINGLE forwarding # rule. They belong together, do NOT split them. If you create multiple # forwarding rules, duplicate the whole block! # Remote Logging (we use TCP for reliable delivery) # # An on-disk queue is created for this action. If the remote host is # down, messages are spooled to disk and sent when it is up again. #$WorkDirectory /var/lib/rsyslog # where to place spool files #$ActionQueueFileName fwdRule1 # unique name prefix for spool files #$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible) #$ActionQueueSaveOnShutdown on # save messages to disk on shutdown #$ActionQueueType LinkedList # run asynchronously #$ActionResumeRetryCount -1 # infinite retries if host is down # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional #*.* @@remote-host:514 # ### end of the forwarding rule ###