Rsyslog : ファシリティとプライオリティ2016/09/12

rsyslog でログの取得を定義する際に指定するルール部分の概要です。

ルール部分は (セレクタ + アクション) で構成され、セレクタは (ファシリティ.プライオリティ) で指定します。アクションの部分は、主には syslog メッセージが保存されるログファイルを指定します。具体的には以下のような書式となります。

⇒ (ファシリティ).(プライオリティ)    スペース/タブ    (アクション)

/etc/rsyslog.d/50-default.conf にデフォルトで設定されている一例を挙げると、以下のように指定されています。


⇒ *.*;auth,authpriv.none                -/var/log/syslog

全ファシリティの全プライオリティの syslog メッセージを「/var/log/syslog」に出力する。ただし、「auth」,「authpriv」ファシリティの syslog メッセージは「/var/log/syslog」には出力しない、といった意味になります。
ちなみに、アクションの部分に指定されているログファイルの先頭のハイフン「-」は、非同期書き込みを有効にすることを意味します。非同期書き込みは、ログが大量に出力された場合でもシステム負荷を軽減できるというメリットがあります。反面、ログを書き込む前にサービスやサーバーが停止した場合は、その時のログを消失するというデメリットもあります。

ログの種類を表すファシリティの種類には以下のようなものがあります。

ファシリティ	説明
kern	カーネル関連のメッセージ
auth	認証関連のメッセージ
authpriv	認証関連(プライベート)のメッセージ
cron	cron や at 関連のメッセージ
mail	メールサービス関連のメッセージ
news	news 関連のメッセージ
uucp	uucp 関連のメッセージ
daemon	デーモンプログラム関連のメッセージ
user	ユーザーレベルのプロセス関連のメッセージ
lpr	プリンタ関連のメッセージ
syslog	syslog 内部のメッセージ
local0 - local7	カスタムで自由に利用可能

ログの重要度を表すプライオリティの種類には以下のようなものがあります。

プライオリティ	説明
none	指定なし(出力しない)
emerg	システム利用不能レベルの問題
alert	即時対応が必要なレベルの問題
crit	重大なレベルの問題
err	一般的なレベルのエラー
warning	警告レベルのメッセージ
notice	要注意レベルの通知メッセージ
info	一般的な情報レベルのメッセージ
debug	デバッグ情報

上で示した書式でルールを記述すると、指定したプライオリティよりも重要度が高いログも含めて記録されていくため、重要度が低いプライオリティを指定するほどに、多くのログが記録されるようになります。指定したプライオリティのみを記録したい場合は、プライオリティの前に等号を付加します。

例 ⇒ kern.=crit     /dev/console