syslog-ng安裝

syslog-ng  網頁：http://www.balabit.com/
詳細參考資料：Administrator Guide
安裝版本：syslog-ng open source edition
系統環境：CentOS 6.4
環境需求：
EventLog library ( eventlog_0.2.12.tar.gz )

tar xvfz eventlog-_0.2.12+20120504+1700.tar.gz
cd eventlog-0.2.12+20120504+1700
./configure
make && make install

gcc , flex , bison , glib,glib2-devel


一 、介紹

syslog-ng是一個彈性和可擴充性的日誌系統 ，可以建立集中化的日誌機制。 syslog-ng 有三個版本Open Source Edition、Premium Edition和硬體式的Store Box。


在Linux 上原有的Syslog 記錄到 秒 的等級，syslog-ng的3.4版本之後 (syslog-ng Open Source Edition)可以記錄到 毫秒（ms）和 微秒（µs）的等級。

二 、安裝

需要套件 glib2-devel

#tar zxvf syslog-ng_3.4.1.tar.gzcd syslog-ng_3.4.1
#export PKG_CONFIG_PATH=/usr/local/lib/pkgconfig:$PKG_CONFIG_PATH
#cd syslog-ng-3.4.1
#./configure --enable-ipv6
#make
#make install

三、設定

原有CentOS6.4 的rsyslog 服務要停掉。 
# chkconfig rsyslog off
設定檔位於 /usr/local/etc/syslog-ng.conf，概念上是 client-serever 的架構

server 範例：

@version: 3.4
@include "scl.conf"

source s_local {
        system();
        internal();
};
 
source s_network {
        udp();
        udp6();

};


template my_template {
        template("$DATE.$USEC $MSG\n"); template_escape(no);
};
destination d_local {
        file("/var/log/messages" template(my_template));
};
##
使用時透過範例template 中加入  $MSEC 或 $USEC,讓寫入紀錄的log可以參考到這個template
##
log {
        source(s_local);
        # uncomment this line to open port 514 to receive messages
        #source(s_network);
        destination(d_local);
};

log {
        source(s_network6);
        destination(d_local);
};


說明：
USEC、C_USEC、R_USEC、S_USEC
微秒(microsecond)

C_USEC： when syslog-ng OSE processes the message
R_USEC： syslog-ng OSE has received the message ( syslog-ng 收到syslog的時間 )
S_USEC：the message sent by the original application(  syslog發送的的時間  )
client 範例 ( rsyslog )：

*.*               @[2001:288:2274:5::250]
local6.*      @[2001:288:2274:5::250]