auth

pam产生的日志

authpriv

ssh，ftp等登录信息的验证信息

cron

时间任务相关

kern

内核

lpr

打印

mail

邮件

mark(syslog)

rsyslog服务内部的信息，时间标识

news

新闻组

user

用户程序产生的相关信息

uucp

unix主机之间相关的通讯

local 1~7

自定义的日志设备（类型）

debug

有调试信息的，日志信息最多

info

一般信息的日志，最常用

notice

最具有重要性的普通条件的信息

warning

警告级别

err

错误级别，阻止某个功能或模块不能正常工作的信息

crit

严重级别，阻止整个系统或整个软件不能正常工作的信息

alert

需要立即修改的信息

emerg

内核崩溃等严重信息

none

什么都不记录

.xxx

表示大于等于xxx级别的信息

.=xxx

表示等于xxx级别的信息

.!xxx

表示在xxx之外的等级的信息

记录到普通文件或设备文件

*.*   /var/log/file.log                                #绝对路径

*.*   /dev/pts/0

转发到远程

*.*   @192.168.0.1                                   #UDP

*.*   @@192.168.0.1:10514                   #TCP

发送给用户（在线用户才生效）

*.*    root

*.*    root,test                                            #多个用户使用英文逗号分开

*.*    *                                                         #*表示所有在线用户

忽略，丢弃

local3.*   ~                  #忽略所有local3类型的所有级别的日志

执行脚本

local3.*   ^/tmp/a.sh          #^后跟可执行脚本或程序的绝对路径

#日志内容可作为脚本的第一个参数

触发报警

.. note::

:msg,contains,       "error"     /var/log/error.log

:msg,contains,        "error"    ~

:msg,contains,        "user vicky"     ~

:msg, contains,       "module-alsa-sink.c: ALSA woke us up to write new data to the device, but there was actually nothing to write"    ~

local3.*                   ~

&                             ~                  #忽略所有日志