syslog-ng详解——运行syslog-ng

安装完syslog-ng后，就是如何使用的问题了。在https://syslog-ng.org 上可以下载syslog-ng的说明文档syslog-ng-ose-guide-admin.pdf,文档中介绍了syslog-ng的用法，很详细。下面介绍下如何使用syslog-ng。

安装目录结构介绍

在syslog-ng安装目录下，文件夹及作用如下：

bin 存放一些用于测试syslog-ng的工具，如loggen， pdbtool
etc 存放syslog-ng的配置文件，⚠主要为syslog-ng.conf
include 头文件
lib syslog-ng相关库文件，如libsyslog-ng.so已经syslog-ng的各种plugin
sbin syslog-ng可执行程序syslog-ng及交互程序syslog-ng-ctl
share 帮助文档
var存放syslog-ng运行时的一些信息

配置syslog-ng

在使用syslog-ng前，需要先对其进行配置，其对应的配置文件为syslog-ng.conf(位于syslog-ng安装目录etc下面),默认配置如下（为了能更好的描述配置文件，我加了个filter语法）：

@version: 3.4
@include "scl.conf"source s_local {system();internal();
};source s_network {udp();
};destination d_local {file("/var/log/messages");
};filter f_level {"${LEVEL_NUM}" > "5";
};log {source(s_local);# uncomment this line to open port 514 to receive messages#source(s_network);filter(f_level);destination(d_local);
};

上边配置了两个日志源:s_local及s_network，一个日志目的地:d_local;
然后定义了日志收集语法 log {source(s_xxx); filter(f_xxx); destination(d_xxx);};.
即收集system(指送往/dev/log及/proc/kmsg的日志)及internal(指syslog-ng进程本身的日志)，然后日志经过filter，将日志级别小于等于7(debug)级别的日志输出到/var/log/messages目录。

配置完syslog-ng后，便可以运行syslog-ng了。

运行syslog-ng

进入sbin目录，执行./syslog-ng运行syslog-ng.如果用上面的配置文件，会发现运行时报错：

system(): /proc/kmsg is not readable, please check permissions if this is     unintentional.; error='Permission denied (13)'
Error binding socket; addr='AF_UNIX(/dev/log)', error='Address already in     use (98)'
Error initializing message pipeline;

这是因为我们现在是以非root用户运行的，所以无法读取/proc/kmsg文件；另外/dev/log这个socket，当前rsyslogd进程正在使用，你也无法使用；
所以先将system这个语法用’#’注释掉，换成file(“…/syslog-ng-3.4.2/syslog-ng.in”);
还有d_local中的目的文件可以改成…/syslog-ng-3.4.2/syslog-ng.out，方便我们分析(这边我们也没有操作/var/log/messages的权限)。
其中…为软件的安装上级目录，且配置文件中的路径要使用绝对路径。

修改后的配置文件如下：

@include "scl.conf"source s_local {#system();file("/home/user/software/syslog-ng-3.4.2/syslog-ng.in");internal();
};source s_network {udp();
};destination d_local {#file("/var/log/messages");file("/home/user/software/syslog-ng-3.4.2/syslog-ng.out");
};filter f_level {"${LEVEL_NUM}" <= "7";
};log {source(s_local);# uncomment this line to open port 514 to receive messages#source(s_network);filter(f_level);destination(d_local);
};

再次运行syslog-ng，可见在安装目录下生成了syslog-ng.out文件，cat看一下,输出：

Sep 13 22:17:28 localhost syslog-ng[84496]: syslog-ng starting up;     version='3.4.2'

这说明syslog-ng已经成功运行起来了。用ps命令看下：

$ps -elf|grep syslog-ng
1 S user        84495      1  0  80   0 -  6150 wait   22:17 ?            00:00:00 supervising syslog-ng
1 S user        84496  84495  0  80   0 -  8832 ep_pol 22:17 ?            00:00:00 ./syslog-ng

其中，主进程为./syslog-ng

这时，我们可以试下往/home/user/software/syslog-ng-3.4.2/syslog-ng.in文件中输入一条信息，syslog-ng将会把此信息一起收集到syslog-ng.out文件中。

$echo "Hello, syslog-ng"  > syslog-ng.in
$cat syslog-ng.out
Sep 13 22:46:49 localhost Hello, syslog-ng

这样，我们就大概清楚了syslog-ng运行的原理：即将某个日志源的信息进行收集，然后对日志进行一些处理（如果过滤，文本替换等），然后输出到指定的目的地(本地或者网络)。