东拼西凑整理出来的东西，很多东西这个系统能找到，那个系统用了其他代替，但理子应该是这个理子。将就看，只求自己回看能看明白。

dmesg（display message）命令用于打印Linux系统开机启动信息，kernel会将开机信息存储在ring buffer中。您若是开机时来不及查看信息，可利用dmesg来查看（print or control the kernel ring buffer）。开机信息亦保存在/var/log/dmesg的文件里。某些硬件设备（比如七号信令卡、语音卡之类）在安装的时候，通常会安装驱动程序（内核模块），会打印一些信息，就可以通过dmesg命令来查看。

dmesg：打印或控制内核环形缓冲区

我们可以使用如‘more’。 ‘tail’, ‘less ’或者‘grep’文字处理工具来处理‘dmesg’命令的输出。由于dmesg日志的输出不适合在一页中完全显示，因此我们使用管道（pipe）将其输出送到more或者less命令单页显示。

只输出dmesg命令的前20行日志

在‘dmesg’命令后跟随‘head’命令来显示开始几行，‘dmesg | head -20′命令将显示开始的前20行。

只输出dmesg命令最后20行日志

在‘dmesg’命令后跟随‘tail’命令（‘ dmesg | tail -20’）来输出‘dmesg’命令的最后20行日志，当你插入可移动设备时它是非常有用的。

搜索包含特定字符串的被检测到的硬件

由于‘dmesg’命令的输出实在太长了，在其中搜索某个特定的字符串是非常困难的。因此，有必要过滤出一些包含‘usb’ ‘dma’ ‘tty’ ‘memory’等字符串的日志行。grep 命令 的‘-i’选项表示忽略大小写。

要显示所有被内核检测到的硬盘设备，你可以使用‘grep’命令搜索‘sda’关键词，如下：

我们可以使用如下命令来清空dmesg的日志。该命令会清空dmesg环形缓冲区中的日志。但是你依然可以查看存储在‘/var/log/dmesg’文件中的日志。你连接任何的设备都会产生dmesg日志输出。

在某些发行版中可以使用命令‘tail -f /var/log/dmesg’来实时监控dmesg的日志输出。

系统日志（Syslog）协议是在一个IP网络中转发系统日志信息的标准，它是在美国加州大学伯克利软件分布研究中心（BSD）的TCP/IP系统实施中开发的，目前已成为工业标准协议，可用它记录设备的日志。Syslog记录着系统中的任何事件，管理者可以通过查看系统记录随时掌握系统状况。系统日志通过Syslog进程记录系统的有关事件，也可以记录应用程序运作事件。通过适当配置，还可以实现运行Syslog协议的机器之间的通信。通过分析这些网络行为日志，可追踪和掌握与设备和网络有关的情况。

在Unix类操作系统上，syslog广泛应用于系统日志。syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

完整的syslog日志中包含产生日志的程序模块（Facility）、严重性（Severity或 Level）、时间、主机名或IP、进程名、进程ID和正文。在Unix类操作系统上，能够按Facility和Severity的组合来决定什么样的日志消息是否需要记录，记录到什么地方，是否需要发送到一个接收syslog的服务器等。由于syslog简单而灵活的特性，syslog不再仅限于Unix类主机的日志记录，任何需要记录和发送日志的场景，都可能会使用syslog。

了解，具体：https://blog.csdn.net/lidonghat/article/details/55004280

syslog系统是linux操作系统的日志收集机制，内核模块和用户进程都可以用syslog机制保存各自的日志信息。

三个组要模块的简介：

syslog系统架构如下：

内核模块保存日志信息的过程：

用户进程保存日志信息的过程：

官网：https://www.rsyslog.com/ github：https://github.com/rsyslog/rsyslog/ rsyslog Configuration Builder：https://www.rsyslog.com/rsyslog-configuration-builder/

关于Syslog的内容我并不想多说，大家如果有不清楚的地方，可以参考 的Linux私房菜。虽然Syslog中规中矩，但是随着时间的推移，无论是功能还是性能，它都显得捉襟见肘，于是出现了：Rsyslog和Syslog-ng，它们都涵盖SysLog的常用功能，不过在功能和性能上更为出色，至于孰优孰劣是个仁者见仁智者见智的问题，鉴于多数Linux发行版均选择了Rsyslog，下面就说说Rsyslog。

rsyslog是一个开源工具，被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。

它所做的事就是统一记录系统的各个子系统产生的日志。但是像FTP、HTTP它们都有自己日志记录格式不是系统的Rsyslog。在Rsyslog系统有两个进程分别是klogd,syslogd。而为什么需要两个守护进程呢?是因为内核跟其他信息需要记录的详细程度及格式的不同。

rsyslog服务的主配置文件为 /etc/rsyslog.conf 指定日志保存位置修改配置文件，修改后重启rsyslog服务生效

rsyslog并不生成日志，只是对日志进行采集和对采集后的日志进行管理

详情看：man 3 syslog

facility（设施）：标识系统需要记录日志的子系统，大概有以下子系统。

priority（级别）：用来标识日志级别,级别越低信息越详细，有以下日志级别，从上到下，级别从低到高，记录的信息越来越少，详细的可以查看手册: man 3 syslog。

action（动作）：设置日志记录的位置，有以下几种。

连接符号

官方文档：https://www.rsyslog.com/doc/v8-stable/configuration/modules/index.html 插件列表：https://www.rsyslog.com/plugins/

Rsyslog 采用模块化设计。这使得功能可以从模块中动态加载，也可以由任何第三方编写。

请注意，每个模块都提供（不区分大小写）配置参数，模块配置参数（和功能）只有在加载后才可用。 简单的rsyslog的架构：rsyslog的消息流是从输入模块-（Input Module）>预处理模块->主队列->过滤模块->执行队列->输出模块（Output Module）

输入模块 有imklg、imsock、imfile、imtcp等，是消息来源

输出模块 有omudp、omtcp、omfile、omprog、ommysql、omruleset等，是消息的目的地。

过滤模块 处理消息的分析和过滤，rsyslog可以根据消息的任何部分进行过滤，有mmnormalize

预处理模块 主要解决各种syslog协议实现间的差异，举例说明如果日志系统client端使用rsyslog、server端使用syslog-ng，如果自己不做特殊处理syslog-ng是无法识别的。但是反过来，rsyslog的server端就可以识别syslog-ng发过来的消息。

Queue模块 负责消息的存储，从Input传入的未经过滤的消息放在主队列中，过滤后的消息放入到不同action queue中，再由action queue送到各个输出模块。

Rsyslog预定义了一些属性，来代表消息中的信息，我们可以在定义输出格式、动态文件名的时候使用到这些属性。这里面比较重要的属性比如：msg（消息体）、hostname、pri（消息等级和类别）、time（时间有关），属性的名称中以$开头的是从本地系统获得的变量、不带$是从消息中获得变量。

属性替代的语法格式：

属性替换的功能很强大，你可以使用起始字符获取自己所需的字段，也可以使用正则表达式，也可以使用分隔符。举几个例子：为了兼容一个rfc协议，rsyslog规定如果用户输入的msg不是以空格开头，rsyslog会自动补充一个空格，因此如果你希望输出的时候去掉这个空格，就可以使用

我们经常需要根据空格来分析字符串，F表示使用字符分割，32是空格的ascii码，例：

正则匹配可以匹配特定的文字和格式，我的正则比较差， 避免了使用这部分的内容，所以这部分没有例子了。

属性替代中还用到了一类特殊的以$!开头的变量，这是使用mmnormalize模块时特有的，可以实现类似于syslog-ng中parser模块的功能。后面再讲。

模板的功能是定义输出格式，或者定义omfile模块的动态路径、动态文件。需要使用上面提到的属性替换。

模板定义的形式有四种，适用于不同的输出模块，一般简单的格式，可以使用string的形式，复杂的格式，建议使用list的形式，使用list的形式，可以使用一些额外的属性字段（property statement），例如：position.from、position.end。

如果不指定输出模板，rsyslog会默认使用RSYSLOG_DEFAULT。

如果你只想输出msg，可以定义模板:

如果想按日期保存输出，需要使用动态路径。可以定义模板

Ruleset实现的是多实例的功能，可以针对syslog的来源使用不同的过滤规则。需要注意的是，在配置文件中需要先定义ruleset，才可以使用。比较典型的一个例子，针对不同的端口使用不同的过滤规则。

在定义好ruleset后，各个输出模块就可以指定自己使用的ruleset了，具体如何指定，可以查看输出模块的手册，一般会有一个ruleset的参数，用来实现这个功能。

Rsyslog可以使用syslog标准的过滤规则，同时自己添加了一些扩展。比如可以在输出中指定rsyslog自己的处理方式，可以指定输出template,方法是在规则后面添加template的名字，用分号隔开。

例如我们可以编写一个规则:

除了syslog标准的规则，rsyslog的作者还自己开发了一个叫做rainerscript的脚本语言，来定义更复杂的过滤过则，rainerscript可以对属性进行startwith、contains、%（取余）等过滤规则，例如:

还有第三种方式是使用属性的表示方式，例如:

队列是rsyslog中比较重要的一个部分，作为使用者，我们需要了解的是队列的种类：主队列和工作队列。从输入模块接收的消息会进入主队列，主队列中的消息，经过过滤模块，会进入到相应的工作队列；队列的四种工作模式：direct mode、disk mode、FixedArray mode和LinkedList mode，前两种是磁盘队列，更可靠，但是性能也较差，后两种是内存队列，区别是前者是预分配队列长度，后者是动态分配，如果你的系统日志流量比较平稳，可以使用预分配队列，如果日志属于突发型，可以使用动态队列。此外，内存队列还可以通过指定一个queuename来添加DA模式，DA模式主要是为了防止意外情况（进程关闭、server端宕机）下，内存队列可以不丢失。

通过查看rsyslog的系统命令，可以知道rsyslog对队列进行大量的可配参数，来定义队列的行为。可以根据需要来进行优化。

正常启动：指定-f和-i就可以了，新版本不需要-c 5 这样的参数。

debug版本：debug消息会输出到标注输出，如果出现未预期的结果，可以尝试使用debug方式，查看处理流程。

测试配置文件是否正确：

默认Rsyslog主配置文件/etc/rsyslog.conf

把系统中所有日志采集到/var/log/westos文件中

操作：

测试：

客户端

如果测试服务端没有收到日志，可以检察下服务端防火墙的日志

默认的日志格式

自定义日志格式

使用自定义日志格式

详细格式配置，参考man rsyslog.conf 关键字“REPLACER”

https://www.cnblogs.com/duanxz/archive/2012/12/05/2802900.html

openwrt默认标准日志模块是由 logd（the ubox log daemon）实现的。它被实现为固定大小的环形缓冲区，在RAM中存储。环形缓冲区区记录可以在路由器上读取，流式传输到文件或通过TCP / UDP套接字 logread发送到远程系统。

下面介绍两个软件： logread（读日志）、logger（写日志）

例子

在 openwrt luci 中，这些日志可以如下图找到

具体使用

logd配置在/etc/config/system.

查看

更改文件后，运行

读取新配置并重新启动服务。

日志消息有三个基本目标：RAM 环形缓冲区（默认）、本地持久文件、在TCP或UDP端口上侦听消息的远程目标。

详细的System Configuration参考： （英文版）https://openwrt.org/docs/guide-user/base-system/system_configuration （中文版）https://openwrt.org/zh/docs/guide-user/base-system/system_configuration（翻译有点奇怪）

See rsyslog - to e.g. rout all or specific logs to a (central) rsyslog receiver

With the config file: /etc/rsyslog.conf

默认配置