Tous les messages du système et du noyau sont transmis à rsyslogd. Pour chaque message de journal reçu, Rsyslog consulte son fichier de configuration, /etc/rsyslog.conf pour déterminer comment gérer ce message. Rsyslog recherche dans le fichier de configuration toutes les instructions de règle qui correspondent à ce message et gère le message comme l'indique chaque instruction de règle. Si aucune instruction de règle ne correspond au message, Rsyslog l'ignore. Les instructions de règle spécifient deux choses :
1. quels messages faire correspondre (sélecteurs), et
2. que faire des messages correspondants (actions).
Sélecteur
Les messages à faire correspondre sont spécifiés par un sélecteur qui fait correspondre les installations et les priorités, tandis que les actions à appliquer aux messages correspondants sont spécifiées par un champ d'action. Par exemple, la ligne de configuration suivante indique à Rsyslog d'appliquer l'action /var/log/kernlog à tous les messages avec une facilité de crénage et un niveau de débogage :
# cat /etc/rsyslog.conf kern.debug /var/log/kernlog
Les déclarations de priorité dans les sélecteurs sont hiérarchiques. Rsyslog correspondra à tous les messages de la priorité spécifiée et supérieure. Le sélecteur kern.debug correspond à tous les messages produits par le noyau avec une priorité de débogage ou supérieure ; étant donné que debug est la priorité la plus basse possible, le sélecteur kern.debug correspond à tous les messages avec une fonction de crénage. De plus, un astérisque peut être utilisé comme caractère générique pour représenter toutes les priorités, donc kern.* correspondra également à tous les messages produits par le noyau.
Contrairement au champ priorité, le champ facilité n'est pas hiérarchique. Cependant, il est toujours possible de faire correspondre plusieurs messages provenant de différentes installations. Plusieurs sélecteurs peuvent être répertoriés sur une ligne, séparés par des points-virgules. Cela peut être utile lorsque la même action doit être appliquée à plusieurs messages. De même, le caractère générique astérisque peut être utilisé pour spécifier toutes les installations, fournissant une autre méthode pour appliquer une action à une variété de messages.
Installations et priorités Syslog
La fonction est utilisée pour spécifier quel type de programme génère le message. Le démon Syslog peut alors être configuré pour gérer différemment les messages provenant de différentes sources. Ce tableau répertorie les fonctionnalités standard définies avec une brève description de leur utilisation :
| Installation | Description |
|---|---|
| auth/authpriv | messages de sécurité/d'autorisation |
| cron | messages des démons crond et atd |
| démon | autres démons système |
| kern | messages du noyau |
| local0 – local7 | réservé à un usage local |
| lpr | sous-système d'imprimante en ligne |
| courrier | sous-système de messagerie |
| actualités | Sous-système de nouvelles USENET |
| syslog | messages générés en interne par le démon de journal système |
| utilisateur | messages génériques au niveau de l'utilisateur |
| uucp | Sous-système UUCP |
La priorité, ou le niveau, d'un message est destiné à déterminer l'importance d'un message. Ce tableau répertorie les niveaux de priorité standard avec une brève description de leur signification :
| Priorité | Description |
|---|---|
| urgence | le système est inutilisable |
| alerte | une action doit être entreprise immédiatement |
| critique | conditions critiques |
| erreur | conditions d'erreur |
| avertissement | conditions d'avertissement |
| avis | état normal, mais significatif |
| infos | messages d'information |
| débogage | messages de débogage |
Actions
De nombreuses actions sont possibles, mais une seule peut être incluse dans une règle :
- Les noms de fichiers peuvent être répertoriés dans le champ d'action, en spécifiant l'emplacement des fichiers dans lesquels le message sélectionné doit être écrit. Ces fichiers peuvent être des fichiers texte, comme c'est généralement le cas, mais ils peuvent également être des fichiers de périphérique tels qu'un terminal ou une imprimante.
- Les noms d'utilisateur peuvent également être spécifiés. Si l'utilisateur nommé est connecté au système lorsque Rsyslog traite le message, le message sera imprimé sur tous les terminaux de cet utilisateur.
- Un astérisque pour l'action indique à Rsyslog d'écrire le message à tous les utilisateurs connectés (il va à tous les terminaux actifs).
- Les messages peuvent être envoyés à des hôtes distants. L'action @host indique à Rsyslog de transmettre le message à l'hôte de la machine, où il sera à nouveau traité par le démon Syslog de cet hôte.
Fichier /etc/rsyslog.conf par défaut
Ci-dessous se trouve le fichier de configuration /etc/rsyslog.conf par défaut dans CentOS 6.
# cat /etc/rsyslog.conf # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html #### MODULES #### $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) #$ModLoad immark # provides --MARK-- message capability # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 #### GLOBAL DIRECTIVES #### # Use default timestamp format $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # File syncing capability is disabled by default. This feature is usually not required, # not useful and an extreme performance hit #$ActionFileEnableSync on # Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf #### RULES #### # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log # ### begin forwarding rule ### # The statement between the begin ... end define a SINGLE forwarding # rule. They belong together, do NOT split them. If you create multiple # forwarding rules, duplicate the whole block! # Remote Logging (we use TCP for reliable delivery) # # An on-disk queue is created for this action. If the remote host is # down, messages are spooled to disk and sent when it is up again. #$WorkDirectory /var/lib/rsyslog # where to place spool files #$ActionQueueFileName fwdRule1 # unique name prefix for spool files #$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible) #$ActionQueueSaveOnShutdown on # save messages to disk on shutdown #$ActionQueueType LinkedList # run asynchronously #$ActionResumeRetryCount -1 # infinite retries if host is down # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional #*.* @@remote-host:514 # ### end of the forwarding rule ###