Mention BZ #18042 in NEWS.
[glibc.git] / manual / syslog.texi
bloba08e103bf3b0cb7067f10bec5878bef7dd367467
1 @node Syslog, Mathematics, Low-Level Terminal Interface, Top
2 @c %MENU% System logging and messaging
3 @chapter Syslog
6 This chapter describes facilities for issuing and logging messages of
7 system administration interest.  This chapter has nothing to do with
8 programs issuing messages to their own users or keeping private logs
9 (One would typically do that with the facilities described in
10 @ref{I/O on Streams}).
12 Most systems have a facility called ``Syslog'' that allows programs to
13 submit messages of interest to system administrators and can be
14 configured to pass these messages on in various ways, such as printing
15 on the console, mailing to a particular person, or recording in a log
16 file for future reference.
18 A program uses the facilities in this chapter to submit such messages.
20 @menu
21 * Overview of Syslog::           Overview of a system's Syslog facility
22 * Submitting Syslog Messages::   Functions to submit messages to Syslog
23 @end menu
25 @node Overview of Syslog
26 @section Overview of Syslog
28 System administrators have to deal with lots of different kinds of
29 messages from a plethora of subsystems within each system, and usually
30 lots of systems as well.  For example, an FTP server might report every
31 connection it gets.  The kernel might report hardware failures on a disk
32 drive.  A DNS server might report usage statistics at regular intervals.
34 Some of these messages need to be brought to a system administrator's
35 attention immediately.  And it may not be just any system administrator
36 -- there may be a particular system administrator who deals with a
37 particular kind of message.  Other messages just need to be recorded for
38 future reference if there is a problem.  Still others may need to have
39 information extracted from them by an automated process that generates
40 monthly reports.
42 To deal with these messages, most Unix systems have a facility called
43 "Syslog."  It is generally based on a daemon called ``Syslogd''
44 Syslogd listens for messages on a Unix domain socket named
45 @file{/dev/log}.  Based on classification information in the messages
46 and its configuration file (usually @file{/etc/syslog.conf}), Syslogd
47 routes them in various ways.  Some of the popular routings are:
49 @itemize @bullet
50 @item
51 Write to the system console
52 @item
53 Mail to a specific user
54 @item
55 Write to a log file
56 @item
57 Pass to another daemon
58 @item
59 Discard
60 @end itemize
62 Syslogd can also handle messages from other systems.  It listens on the
63 @code{syslog} UDP port as well as the local socket for messages.
65 Syslog can handle messages from the kernel itself.  But the kernel
66 doesn't write to @file{/dev/log}; rather, another daemon (sometimes
67 called ``Klogd'') extracts messages from the kernel and passes them on to
68 Syslog as any other process would (and it properly identifies them as
69 messages from the kernel).
71 Syslog can even handle messages that the kernel issued before Syslogd or
72 Klogd was running.  A Linux kernel, for example, stores startup messages
73 in a kernel message ring and they are normally still there when Klogd
74 later starts up.  Assuming Syslogd is running by the time Klogd starts,
75 Klogd then passes everything in the message ring to it.
77 In order to classify messages for disposition, Syslog requires any process
78 that submits a message to it to provide two pieces of classification
79 information with it:
81 @table @asis
82 @item facility
83 This identifies who submitted the message.  There are a small number of
84 facilities defined.  The kernel, the mail subsystem, and an FTP server
85 are examples of recognized facilities.  For the complete list,
86 @xref{syslog; vsyslog}.  Keep in mind that these are
87 essentially arbitrary classifications.  "Mail subsystem" doesn't have any
88 more meaning than the system administrator gives to it.
90 @item priority
91 This tells how important the content of the message is.  Examples of
92 defined priority values are: debug, informational, warning, critical.
93 For the complete list, see @ref{syslog; vsyslog}.  Except for
94 the fact that the priorities have a defined order, the meaning of each
95 of these priorities is entirely determined by the system administrator.
97 @end table
99 A ``facility/priority'' is a number that indicates both the facility
100 and the priority.
102 @strong{Warning:} This terminology is not universal.  Some people use
103 ``level'' to refer to the priority and ``priority'' to refer to the
104 combination of facility and priority.  A Linux kernel has a concept of a
105 message ``level,'' which corresponds both to a Syslog priority and to a
106 Syslog facility/priority (It can be both because the facility code for
107 the kernel is zero, and that makes priority and facility/priority the
108 same value).
110 @Theglibc{} provides functions to submit messages to Syslog.  They
111 do it by writing to the @file{/dev/log} socket.  @xref{Submitting Syslog
112 Messages}.
114 The @glibcadj{} functions only work to submit messages to the Syslog
115 facility on the same system.  To submit a message to the Syslog facility
116 on another system, use the socket I/O functions to write a UDP datagram
117 to the @code{syslog} UDP port on that system.  @xref{Sockets}.
120 @node Submitting Syslog Messages
121 @section Submitting Syslog Messages
123 @Theglibc{} provides functions to submit messages to the Syslog
124 facility:
126 @menu
127 * openlog::                      Open connection to Syslog
128 * syslog; vsyslog::              Submit message to Syslog
129 * closelog::                     Close connection to Syslog
130 * setlogmask::                   Cause certain messages to be ignored
131 * Syslog Example::               Example of all of the above
132 @end menu
134 These functions only work to submit messages to the Syslog facility on
135 the same system.  To submit a message to the Syslog facility on another
136 system, use the socket I/O functions to write a UDP datagram to the
137 @code{syslog} UDP port on that system.  @xref{Sockets}.
141 @node openlog
142 @subsection openlog
144 The symbols referred to in this section are declared in the file
145 @file{syslog.h}.
147 @comment syslog.h
148 @comment BSD
149 @deftypefun void openlog (const char *@var{ident}, int @var{option}, int @var{facility})
150 @safety{@prelim{}@mtsafe{}@asunsafe{@asulock{}}@acunsafe{@aculock{} @acsfd{}}}
151 @c openlog @asulock @aculock @acsfd
152 @c  libc_lock_lock @asulock @aculock
153 @c  openlog_internal @acsfd [always guarded by syslog_lock, so no race]
154 @c   strncpy dup ok
155 @c   socket dup @acsfd
156 @c   fcntl dup ok
157 @c   connect dup ok
158 @c   close dup @acsfd
159 @c  cancel_handler(NULL) @aculock
160 @c   libc_lock_unlock @aculock
162 @code{openlog} opens or reopens a connection to Syslog in preparation
163 for submitting messages.
165 @var{ident} is an arbitrary identification string which future
166 @code{syslog} invocations will prefix to each message.  This is intended
167 to identify the source of the message, and people conventionally set it
168 to the name of the program that will submit the messages.
170 If @var{ident} is NULL, or if @code{openlog} is not called, the default
171 identification string used in Syslog messages will be the program name,
172 taken from argv[0].
174 Please note that the string pointer @var{ident} will be retained
175 internally by the Syslog routines.  You must not free the memory that
176 @var{ident} points to.  It is also dangerous to pass a reference to an
177 automatic variable since leaving the scope would mean ending the
178 lifetime of the variable.  If you want to change the @var{ident} string,
179 you must call @code{openlog} again; overwriting the string pointed to by
180 @var{ident} is not thread-safe.
182 You can cause the Syslog routines to drop the reference to @var{ident} and
183 go back to the default string (the program name taken from argv[0]), by
184 calling @code{closelog}: @xref{closelog}.
186 In particular, if you are writing code for a shared library that might get
187 loaded and then unloaded (e.g. a PAM module), and you use @code{openlog},
188 you must call @code{closelog} before any point where your library might
189 get unloaded, as in this example:
191 @smallexample
192 #include <syslog.h>
194 void
195 shared_library_function (void)
197   openlog ("mylibrary", option, priority);
199   syslog (LOG_INFO, "shared library has been invoked");
201   closelog ();
203 @end smallexample
205 Without the call to @code{closelog}, future invocations of @code{syslog}
206 by the program using the shared library may crash, if the library gets
207 unloaded and the memory containing the string @code{"mylibrary"} becomes
208 unmapped.  This is a limitation of the BSD syslog interface.
210 @code{openlog} may or may not open the @file{/dev/log} socket, depending
211 on @var{option}.  If it does, it tries to open it and connect it as a
212 stream socket.  If that doesn't work, it tries to open it and connect it
213 as a datagram socket.  The socket has the ``Close on Exec'' attribute,
214 so the kernel will close it if the process performs an exec.
216 You don't have to use @code{openlog}.  If you call @code{syslog} without
217 having called @code{openlog}, @code{syslog} just opens the connection
218 implicitly and uses defaults for the information in @var{ident} and
219 @var{options}.
221 @var{options} is a bit string, with the bits as defined by the following
222 single bit masks:
224 @table @code
225 @item LOG_PERROR
226 If on, @code{openlog} sets up the connection so that any @code{syslog}
227 on this connection writes its message to the calling process' Standard
228 Error stream in addition to submitting it to Syslog.  If off, @code{syslog}
229 does not write the message to Standard Error.
231 @item LOG_CONS
232 If on, @code{openlog} sets up the connection so that a @code{syslog} on
233 this connection that fails to submit a message to Syslog writes the
234 message instead to system console.  If off, @code{syslog} does not write
235 to the system console (but of course Syslog may write messages it
236 receives to the console).
238 @item LOG_PID
239 When on, @code{openlog} sets up the connection so that a @code{syslog}
240 on this connection inserts the calling process' Process ID (PID) into
241 the message.  When off, @code{openlog} does not insert the PID.
243 @item LOG_NDELAY
244 When on, @code{openlog} opens and connects the @file{/dev/log} socket.
245 When off, a future @code{syslog} call must open and connect the socket.
247 @strong{Portability note:}  In early systems, the sense of this bit was
248 exactly the opposite.
250 @item LOG_ODELAY
251 This bit does nothing.  It exists for backward compatibility.
253 @end table
255 If any other bit in @var{options} is on, the result is undefined.
257 @var{facility} is the default facility code for this connection.  A
258 @code{syslog} on this connection that specifies default facility causes
259 this facility to be associated with the message.  See @code{syslog} for
260 possible values.  A value of zero means the default default, which is
261 @code{LOG_USER}.
263 If a Syslog connection is already open when you call @code{openlog},
264 @code{openlog} ``reopens'' the connection.  Reopening is like opening
265 except that if you specify zero for the default facility code, the
266 default facility code simply remains unchanged and if you specify
267 LOG_NDELAY and the socket is already open and connected, @code{openlog}
268 just leaves it that way.
270 @c There is a bug in closelog() (glibc 2.1.3) wherein it does not reset the
271 @c default log facility to LOG_USER, which means the default default log
272 @c facility could be whatever the default log facility was for a previous
273 @c Syslog connection.  I have documented what the function should be rather
274 @c than what it is because I think if anyone ever gets concerned, the code
275 @c will change.
277 @end deftypefun
280 @node syslog; vsyslog
281 @subsection syslog, vsyslog
283 The symbols referred to in this section are declared in the file
284 @file{syslog.h}.
286 @c syslog() is implemented as a call to vsyslog().
287 @comment syslog.h
288 @comment BSD
289 @deftypefun void syslog (int @var{facility_priority}, const char *@var{format}, @dots{})
290 @safety{@prelim{}@mtsafe{@mtsenv{} @mtslocale{}}@asunsafe{@asucorrupt{} @ascuheap{} @asulock{} @ascudlopen{}}@acunsafe{@acucorrupt{} @aculock{} @acsmem{} @acsfd{}}}
291 @c syslog @mtsenv @mtslocale @asucorrupt @ascuheap @asulock @ascudlopen @acucorrupt @aculock @acsmem @acsfd
292 @c  va_start dup ok
293 @c  vsyslog_chk @mtsenv @mtslocale @asucorrupt @ascuheap @asulock @ascudlopen @acucorrupt @aculock @acsmem @acsfd
294 @c   syslog(INTERNALLOG) dup @mtsenv @mtslocale @asucorrupt @ascuheap @asulock @ascudlopen @acucorrupt @aculock @acsmem @acsfd
295 @c   open_memstream @ascuheap @acsmem
296 @c   stpcpy dup ok
297 @c   getpid dup ok
298 @c   mempcpy dup ok
299 @c   fsetlocking [no @mtasurace:stream @asulock for exclusive stream]
300 @c   fprintf @mtslocale @ascuheap @acsmem [no @asucorrupt @aculock @acucorrupt on temp memstream]
301 @c   time dup ok
302 @c   localtime_r dup @mtsenv @mtslocale @ascuheap @asulock @aculock @acsmem @acsfd
303 @c   strftime_l(C) dup @mtsenv @mtslocale @asucorrupt @ascuheap @asulock @ascudlopen @acucorrupt @aculock @acsmem @acsfd
304 @c   ftell dup ok [no @asucorrupt @aculock @acucorrupt on temp memstream]
305 @c   fputs_unlocked dup ok [no @mtasurace:stream @asucorrupt @acucorrupt on temp memstream]
306 @c   putc_unlocked dup ok [no @mtasurace:stream @asucorrupt @acucorrupt on temp memstream]
307 @c   vfprintf/vfprintf_chk dup @mtslocale @ascuheap @acsmem [no @mtasurace:stream @asucorrupt @acucorrupt on temp memstream]
308 @c   fclose dup @ascuheap @acsmem [no @asulock @aculock @acsfd on caller-locked memstream]
309 @c   writev dup ok
310 @c   libc_lock_lock dup @asulock @aculock
311 @c   memset dup ok
312 @c   sigemptyset dup ok
313 @c   sigaction(SIGPIPE) dup @mtasusig:PIPE @acusig:PIPE
314 @c   openlog_internal dup @acsfd
315 @c   send dup ok
316 @c   closelog_internal dup @acsfd
317 @c   open dup @acsfd
318 @c   dprintf dup ok
319 @c   libc_lock_unlock @asulock @aculock
320 @c   free dup @acsuheap @acsmem
321 @c  va_end dup ok
323 @code{syslog} submits a message to the Syslog facility.  It does this by
324 writing to the Unix domain socket @code{/dev/log}.
326 @code{syslog} submits the message with the facility and priority indicated
327 by @var{facility_priority}.  The macro @code{LOG_MAKEPRI} generates a
328 facility/priority from a facility and a priority, as in the following
329 example:
331 @smallexample
332 LOG_MAKEPRI(LOG_USER, LOG_WARNING)
333 @end smallexample
335 The possible values for the facility code are (macros):
337 @c Internally, there is also LOG_KERN, but LOG_KERN == 0, which means
338 @c if you try to use it here, just selects default.
340 @vtable @code
341 @item LOG_USER
342 A miscellaneous user process
343 @item LOG_MAIL
344 Mail
345 @item LOG_DAEMON
346 A miscellaneous system daemon
347 @item LOG_AUTH
348 Security (authorization)
349 @item LOG_SYSLOG
350 Syslog
351 @item LOG_LPR
352 Central printer
353 @item LOG_NEWS
354 Network news (e.g. Usenet)
355 @item LOG_UUCP
356 UUCP
357 @item LOG_CRON
358 Cron and At
359 @item LOG_AUTHPRIV
360 Private security (authorization)
361 @item LOG_FTP
362 Ftp server
363 @item LOG_LOCAL0
364 Locally defined
365 @item LOG_LOCAL1
366 Locally defined
367 @item LOG_LOCAL2
368 Locally defined
369 @item LOG_LOCAL3
370 Locally defined
371 @item LOG_LOCAL4
372 Locally defined
373 @item LOG_LOCAL5
374 Locally defined
375 @item LOG_LOCAL6
376 Locally defined
377 @item LOG_LOCAL7
378 Locally defined
379 @end vtable
381 Results are undefined if the facility code is anything else.
383 @strong{NB:} @code{syslog} recognizes one other facility code: that of
384 the kernel.  But you can't specify that facility code with these
385 functions.  If you try, it looks the same to @code{syslog} as if you are
386 requesting the default facility.  But you wouldn't want to anyway,
387 because any program that uses @theglibc{} is not the kernel.
389 You can use just a priority code as @var{facility_priority}.  In that
390 case, @code{syslog} assumes the default facility established when the
391 Syslog connection was opened.  @xref{Syslog Example}.
393 The possible values for the priority code are (macros):
395 @vtable @code
396 @item LOG_EMERG
397 The message says the system is unusable.
398 @item LOG_ALERT
399 Action on the message must be taken immediately.
400 @item LOG_CRIT
401 The message states a critical condition.
402 @item LOG_ERR
403 The message describes an error.
404 @item LOG_WARNING
405 The message is a warning.
406 @item LOG_NOTICE
407 The message describes a normal but important event.
408 @item LOG_INFO
409 The message is purely informational.
410 @item LOG_DEBUG
411 The message is only for debugging purposes.
412 @end vtable
414 Results are undefined if the priority code is anything else.
416 If the process does not presently have a Syslog connection open (i.e.,
417 it did not call @code{openlog}), @code{syslog} implicitly opens the
418 connection the same as @code{openlog} would, with the following defaults
419 for information that would otherwise be included in an @code{openlog}
420 call: The default identification string is the program name.  The
421 default default facility is @code{LOG_USER}.  The default for all the
422 connection options in @var{options} is as if those bits were off.
423 @code{syslog} leaves the Syslog connection open.
425 If the @file{/dev/log} socket is not open and connected, @code{syslog}
426 opens and connects it, the same as @code{openlog} with the
427 @code{LOG_NDELAY} option would.
429 @code{syslog} leaves @file{/dev/log} open and connected unless its attempt
430 to send the message failed, in which case @code{syslog} closes it (with the
431 hope that a future implicit open will restore the Syslog connection to a
432 usable state).
434 Example:
436 @smallexample
438 #include <syslog.h>
439 syslog (LOG_MAKEPRI(LOG_LOCAL1, LOG_ERROR),
440         "Unable to make network connection to %s.  Error=%m", host);
442 @end smallexample
444 @end deftypefun
447 @comment syslog.h
448 @comment BSD
449 @deftypefun void vsyslog (int @var{facility_priority}, const char *@var{format}, va_list @var{arglist})
450 @safety{@prelim{}@mtsafe{@mtsenv{} @mtslocale{}}@asunsafe{@asucorrupt{} @ascuheap{} @asulock{} @ascudlopen{}}@acunsafe{@acucorrupt{} @aculock{} @acsmem{} @acsfd{}}}
451 @c vsyslog @mtsenv @mtslocale @asucorrupt @ascuheap @asulock @ascudlopen @acucorrupt @aculock @acsmem @acsfd
452 @c  vsyslog_chk dup @mtsenv @mtslocale @asucorrupt @ascuheap @asulock @ascudlopen @acucorrupt @aculock @acsmem @acsfd
454 This is functionally identical to @code{syslog}, with the BSD style variable
455 length argument.
457 @end deftypefun
460 @node closelog
461 @subsection closelog
463 The symbols referred to in this section are declared in the file
464 @file{syslog.h}.
466 @comment syslog.h
467 @comment BSD
468 @deftypefun void closelog (void)
469 @safety{@prelim{}@mtsafe{}@asunsafe{@asulock{}}@acunsafe{@aculock{} @acsfd{}}}
470 @c closelog @asulock @aculock @acsfd
471 @c  libc_lock_lock @asulock @aculock
472 @c  closelog_internal @acsfd [always guarded by syslog_lock, so no race]
473 @c   close dup@acsfd
474 @c  cancel_handler(NULL) @aculock
475 @c   libc_lock_unlock @aculock
477 @code{closelog} closes the current Syslog connection, if there is one.
478 This includes closing the @file{/dev/log} socket, if it is open.
479 @code{closelog} also sets the identification string for Syslog messages
480 back to the default, if @code{openlog} was called with a non-NULL argument
481 to @var{ident}.  The default identification string is the program name
482 taken from argv[0].
484 If you are writing shared library code that uses @code{openlog} to
485 generate custom syslog output, you should use @code{closelog} to drop
486 @theglibc{}'s internal reference to the @var{ident} pointer when you are
487 done.  Please read the section on @code{openlog} for more information:
488 @xref{openlog}.
490 @code{closelog} does not flush any buffers.  You do not have to call
491 @code{closelog} before re-opening a Syslog connection with @code{openlog}.
492 Syslog connections are automatically closed on exec or exit.
494 @end deftypefun
497 @node setlogmask
498 @subsection setlogmask
500 The symbols referred to in this section are declared in the file
501 @file{syslog.h}.
503 @comment syslog.h
504 @comment BSD
505 @deftypefun int setlogmask (int @var{mask})
506 @safety{@prelim{}@mtunsafe{@mtasurace{:LogMask}}@asunsafe{}@acsafe{}}
507 @c Read and modify are not guarded by syslog_lock, so concurrent changes
508 @c or even uses are undefined.  This should use an atomic swap instead,
509 @c at least for modifications.
511 @code{setlogmask} sets a mask (the ``logmask'') that determines which
512 future @code{syslog} calls shall be ignored.  If a program has not
513 called @code{setlogmask}, @code{syslog} doesn't ignore any calls.  You
514 can use @code{setlogmask} to specify that messages of particular
515 priorities shall be ignored in the future.
517 A @code{setlogmask} call overrides any previous @code{setlogmask} call.
519 Note that the logmask exists entirely independently of opening and
520 closing of Syslog connections.
522 Setting the logmask has a similar effect to, but is not the same as,
523 configuring Syslog.  The Syslog configuration may cause Syslog to
524 discard certain messages it receives, but the logmask causes certain
525 messages never to get submitted to Syslog in the first place.
527 @var{mask} is a bit string with one bit corresponding to each of the
528 possible message priorities.  If the bit is on, @code{syslog} handles
529 messages of that priority normally.  If it is off, @code{syslog}
530 discards messages of that priority.  Use the message priority macros
531 described in @ref{syslog; vsyslog} and the @code{LOG_MASK} to construct
532 an appropriate @var{mask} value, as in this example:
534 @smallexample
535 LOG_MASK(LOG_EMERG) | LOG_MASK(LOG_ERROR)
536 @end smallexample
540 @smallexample
541 ~(LOG_MASK(LOG_INFO))
542 @end smallexample
544 There is also a @code{LOG_UPTO} macro, which generates a mask with the bits
545 on for a certain priority and all priorities above it:
547 @smallexample
548 LOG_UPTO(LOG_ERROR)
549 @end smallexample
551 The unfortunate naming of the macro is due to the fact that internally,
552 higher numbers are used for lower message priorities.
554 @end deftypefun
557 @node Syslog Example
558 @subsection Syslog Example
560 Here is an example of @code{openlog}, @code{syslog}, and @code{closelog}:
562 This example sets the logmask so that debug and informational messages
563 get discarded without ever reaching Syslog.  So the second @code{syslog}
564 in the example does nothing.
566 @smallexample
567 #include <syslog.h>
569 setlogmask (LOG_UPTO (LOG_NOTICE));
571 openlog ("exampleprog", LOG_CONS | LOG_PID | LOG_NDELAY, LOG_LOCAL1);
573 syslog (LOG_NOTICE, "Program started by User %d", getuid ());
574 syslog (LOG_INFO, "A tree falls in a forest");
576 closelog ();
578 @end smallexample