Todos los mensajes del sistema y del núcleo se pasan a rsyslogd. Por cada mensaje de registro recibido, Rsyslog mira su archivo de configuración, /etc/rsyslog.conf para determinar cómo manejar ese mensaje. Rsyslog busca en el archivo de configuración todas las declaraciones de regla que coincidan con ese mensaje y maneja el mensaje según lo dicte cada declaración de regla. Si ninguna declaración de regla coincide con el mensaje, Rsyslog lo descarta. Las declaraciones de reglas especifican dos cosas:
1. qué mensajes hacer coincidir (selectores), y
2. qué hacer con los mensajes coincidentes (acciones).
Selectores
Los mensajes para hacer coincidir se especifican mediante un selector que hace coincidir las instalaciones y las prioridades, mientras que las acciones para aplicar a los mensajes coincidentes se especifican mediante un campo de acción. Por ejemplo, la siguiente línea de configuración le dice a Rsyslog que aplique la acción /var/log/kernlog a todos los mensajes con una función de interletraje y un nivel de depuración:
# cat /etc/rsyslog.conf kern.debug /var/log/kernlog
Las declaraciones de prioridad en los selectores son jerárquicas. Rsyslog coincidirá con todos los mensajes de la prioridad especificada y superior. El selector kern.debug coincide con todos los mensajes producidos por el núcleo con prioridad de depuración o superior; dado que la depuración tiene la prioridad más baja posible, el selector kern.debug hace coincidir todos los mensajes con una función de kern. Además, se puede usar un asterisco como comodín para representar todas las prioridades, por lo que kern.* también coincidiría con todos los mensajes producidos por el kernel.
A diferencia del campo de prioridad, el campo de instalaciones no es jerárquico. Sin embargo, todavía es posible hacer coincidir múltiples mensajes de diferentes instalaciones. Se pueden enumerar varios selectores en una línea, separados por punto y coma. Esto puede ser útil cuando se debe aplicar la misma acción a varios mensajes. De manera similar, el comodín de asterisco se puede usar para especificar todas las instalaciones, proporcionando otro método para aplicar una acción a una variedad de mensajes.
Instalaciones y prioridades de Syslog
La función se utiliza para especificar qué tipo de programa está generando el mensaje. El demonio Syslog se puede configurar para manejar mensajes de diferentes fuentes de manera diferente. Esta tabla enumera las instalaciones definidas estándar con breves descripciones de para qué se utilizan:
| Instalación | Descripción |
|---|---|
| autenticación/autorizaciónpriv | mensajes de seguridad/autorización |
| cron | mensajes de demonios crond y atd |
| demonio | otros demonios del sistema |
| kern | mensajes del núcleo |
| local0 – local7 | reservado para uso local |
| lpr | subsistema de impresora de línea |
| correo | subsistema de correo |
| noticias | Subsistema de noticias de USENET |
| registro del sistema | mensajes generados internamente por el demonio de registro del sistema |
| usuario | mensajes genéricos a nivel de usuario |
| uucp | Subsistema UUCP |
La prioridad, o nivel, de un mensaje pretende determinar la importancia de un mensaje. Esta tabla enumera los niveles de prioridad estándar con breves descripciones de sus significados:
| Prioridad | Descripción |
|---|---|
| emergencia | el sistema no se puede utilizar |
| alerta | se deben tomar medidas inmediatamente |
| crítico | condiciones críticas |
| err | condiciones de error |
| advertencia | condiciones de advertencia |
| aviso | estado normal, pero significativo |
| información | mensajes informativos |
| depuración | mensajes de depuración |
Acciones
Son posibles muchas acciones, aunque solo se puede incluir una en una regla:
- Los nombres de los archivos se pueden enumerar en el campo de acción, especificando la ubicación de los archivos en los que se debe escribir el mensaje seleccionado. Estos archivos pueden ser archivos de texto, como suele ser el caso, pero también pueden ser archivos de dispositivos como un terminal o una impresora.
- También se pueden especificar nombres de usuario. Si el usuario nombrado está conectado al sistema cuando Rsyslog procesa el mensaje, el mensaje se imprimirá en todos los terminales de ese usuario.
- Un asterisco para la acción le indica a Rsyslog que escriba el mensaje para todos los usuarios registrados (va a todos los terminales activos).
- Los mensajes se pueden enviar a hosts remotos. La acción @host le dice a Rsyslog que reenvíe el mensaje al host de la máquina, donde será procesado nuevamente por el demonio Syslog de ese host.
Archivo predeterminado /etc/rsyslog.conf
A continuación se muestra el archivo de configuración predeterminado /etc/rsyslog.conf en CentOS 6.
# cat /etc/rsyslog.conf # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html #### MODULES #### $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) #$ModLoad immark # provides --MARK-- message capability # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 #### GLOBAL DIRECTIVES #### # Use default timestamp format $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # File syncing capability is disabled by default. This feature is usually not required, # not useful and an extreme performance hit #$ActionFileEnableSync on # Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf #### RULES #### # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log # ### begin forwarding rule ### # The statement between the begin ... end define a SINGLE forwarding # rule. They belong together, do NOT split them. If you create multiple # forwarding rules, duplicate the whole block! # Remote Logging (we use TCP for reliable delivery) # # An on-disk queue is created for this action. If the remote host is # down, messages are spooled to disk and sent when it is up again. #$WorkDirectory /var/lib/rsyslog # where to place spool files #$ActionQueueFileName fwdRule1 # unique name prefix for spool files #$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible) #$ActionQueueSaveOnShutdown on # save messages to disk on shutdown #$ActionQueueType LinkedList # run asynchronously #$ActionResumeRetryCount -1 # infinite retries if host is down # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional #*.* @@remote-host:514 # ### end of the forwarding rule ###