Linux日志管理之详解syslog(2)

mail.* /var/log/maillog
(2)其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志(/var/log/spooler)中并把级别限为\"err\"或更高。例如：
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
(3)当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。
#Everybody gets emergency messages， plus log them on anther machine
*.emerg *
*.emerg @linuxaid.com.cn
(4)有时syslogd将产生大量的消息。例如内核(\"kern\"设备)可能很冗长，用户很难看得清楚明了，那么用户可能想把内核消息记录到/dev/console中。下面的例子表明内核日志记录被注释掉了：
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console
(5)用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别\"none\"禁止一个设备：
#Log anything(except mail)of level info or higher
#Don\'t log private authentication messages!
*.info:mail.none;autHPriv.none /var/log/messages
3、syslog进程
syslogd守护程序是由/etc/rc.d/init.d/syslog脚本在运行级2下被调用的，缺省不使用选项。但有两个选项-r和-h很有用：
如果将要使用一个日志服务器，必须调用syslogd -r。缺省情况下syslogd不接受来自远程系统的信息。当指定-r选项，syslogd将会监听从514端口上进来的UDP包。
如果还希望日志服务器能传送日志信息，可以使用-h标志。缺省时，syslogd将忽略使其从一个远程系统传送日志信息到另一个系统的syslogd。
另外，如果需要重新启动syslog守护进程(/etc/syslog.conf的修改只有在syslog守护进程重新启动后才会生效)，并且只想重新启动syslog守护进程而不是整个系统，在Red Hat Linux机器上，执行以下两条命令之一即可：
/etc/rc.d/init.d/syslogstop;/etc/rc.d/init.d/syslogstart
/etc/rc.d/init.d/syslogrestart
4、灵活运用syslog调用接口
在实际的使用过程中，我们可以通过配置文件和查看相应的日志文件来使用syslog。然而，在许多应用场景下，我们往往需要通过程序产生输出信息并 进行记录，也就是说要把一些信息写成日志文件，正常情况下运行程序的人不用关心日志里的内容，只有在出现问题的时候才会查看日志文件里的内容以确定问题所 在。因此，下面将详细介绍如何通过syslog日志系统提供的API调用接口，来使用程序实现对syslog的使用。
1.主要的函数
在Linux中，提供了四个有关syslog日志系统的系统调用，供用户使用：
openlog：打开日志设备，以供读取和写入，与文件系统调用的open类似;
syslog：写入日志，与文件系统调用的write类似;
closelog：关闭日志设备，与文件系统调用的close类似;
vsyslog：它和syslog功能一样，负责写入日志，只是参数格式不同。
(1)openlog函数
该函数的声明如下：
void openlog(const char *ident, int option, int facility);
此函数用来打开一个到系统日志记录程序的连接，打开之后就可以用syslog或vsyslog函数向系统日志里添加信息了。而closelog函数就是用来关闭此连接的。
openlog 的第一个参数ident是一个标记，ident所表示的字符串将固定地加在每行日志的前面以标识这个日志，通常就写成当前程序的名称以作标记。第二个参数 option一般是下列选项值取“与”运算(使用“|”表示，如“LOG_CONS | LOG_PID”)的结果：