Linux系统管理实践(12)：Syslog系统日志配置

    Linux保存了系统中所发生事件的详细记录，这些记录称作日志文件或消息文件。可以查阅日志文件来确定系统当前状态，观察入侵者踪迹，寻找某特定程序(或事件)相关的数据。syslogd与klogd(监控linux内核提交的消息)守护进程负责记录，发送系统或工具产生的信息，二者的配置文件都是/etc/syslog.conf。当系统内核或工具产生信息时，通过调用相关函数将信息发送到syslogd或klogd守护进程。syslogd与klogd守护进程会根据/etc/syslog.conf中的配置信息，对消息的去向作出处理。syslog协议的详细描述在RFC3164中。
    logrotate工具用来定期重命名、压缩、邮递系统日志文件，它可以保证日志文件不会占用太大的磁盘空间。
    1、配置文件/etc/syslog.conf：
syslog.conf是syslogd进程的配置文件，将在程序启动时读取，默认位置是/etc/syslog.conf。这个配置文件中的空白行和以"#"开头的行将被忽略。"facility.level"部分也被称为选择符(seletor)。 seletor和action之间使用一个或多个空白分隔。它指定了一系列日志记录规则。规则的格式如下:
    facility.level    action
    选择符(seletor)由facility和level两部分组成，之间用一个句点(.)连接。
    （1）facility：指定了产生日志的设备，可以是下面的关键字之一:
关键字                   值            解释
kern                0          内核信息，首先通过klogd传递
user                1          由用户程序生成的信息
mail                2          与电子邮件有关的信息
daemon              3    &nb