centos message如何归类

CentOS 日志消息的分类

一 核心维度

• 按设施 Facility：标识日志来源，例如 auth/authpriv、cron、daemon、kern、mail、syslog、local0–local7 等。
• 按优先级 Severity：从低到高依次为 debug、info、notice、warning、err、crit、alert、emerg。
• 按来源组件：由 systemd-journald 与 rsyslog 协同处理；journald 负责采集与结构化存储，rsyslog 负责按规则写入本地文件或转发到远程。
• 按用途/内容：常见有系统运行、安全认证、计划任务、邮件、内核/启动、登录会话等类别。

二 默认日志文件与用途

三 rsyslog 选择器与分类规则

• 选择器语法：由“设施.优先级”组成，例如 authpriv.、mail.info、.err；也支持组合与排除：
  • .xxx 表示大于等于该级别；.=xxx 仅等于该级别；.!xxx 排除该级别；.none 排除某设施。
• 常见写法示例：
  • 将除邮件、认证、定时任务外的 info 及以上日志写入 messages：*.info;mail.none;authpriv.none;cron.none /var/log/messages
  • 认证相关全部记录：authpriv. /var/log/secure*
  • 邮件全部记录（使用“-”减少磁盘 I/O）：mail. -/var/log/maillog*
  • 计划任务全部记录：cron. /var/log/cron*
  • 仅记录内核的 err 级别：kern.=err /var/log/kern_err.log
• 动作与停止：匹配后可 & stop 阻止继续处理，或将日志发送到用户/脚本/远程服务器。

四 快速实践建议

• 按服务拆分日志：在 /etc/rsyslog.d/ 下新增配置，例如将 httpd 的错误日志单独保存：if $programname == ‘httpd’ and $syslogseverity <= ‘error’ then /var/log/httpd/httpd_errors.log& stop
• 按优先级分流：将全系统的 err 及以上集中到错误告警文件：*.err /var/log/errors_all.log
• 远程集中：将本机日志发往集中服务器（TCP 更可靠）：发送端：*.* @@remote-log-server:514接收端：加载模块并监听 514 端口（imtcp/imudp）。
• 日志轮转：使用 logrotate 管理增长，如保留 7 天、每日轮转、压缩旧日志，并在轮转后通知进程重开日志文件。