日誌管理

一、日誌管理

終端顏色：白色（普通文件）、紅色（壓縮文件）、綠色（執行權限）、藍色（目錄）

日誌：一個文件，記錄當前系統、用戶、程序的工作狀態

位置

系統、用戶、RPM（YUM程序）：/var/log/目錄下

源碼程序：安裝目錄下，log目錄

anaconda（響應程序，用於運行圖形化安裝嚮導），安裝過程產生日誌/var/log/anaconda.*

快捷鍵：Ctrl+Alt+F3（查看安裝過程中網絡情況）、Ctrl+Alt+F4（查看安裝過程中內核情況）、Ctrl+Alt+F5（查看安裝過程中的詳細安裝情況）、Ctrl+Alt+F6（回到安裝嚮導）

日誌文件分類

二進制日誌文件：不能支持查看，只能通過特有命令調用日誌文件查看

普通日誌文件：可直接查看、如cat、tail -f等

1.常見系統日誌

/var/log/anaconda.* //記錄系統安裝系統中相關運行情況

/var/log/audit/ //記錄audit（審計）情況

/var/log/boot.log //記錄啓動過程中的內核情況

/var/log/btmp //記錄所有用戶登陸失敗的信息（該日誌文件不能直接查看）

/var/log/ConsoleKit/ //記錄終端相關情況

/var/log/cron //記錄crontab計劃任務情況

/var/log/dmesg //記錄引導過程中相關硬件工作情況

/var/log/dracut.log //記錄initramfs（小型Linux系統）狀態

/var/log/lastlog //記錄用戶登陸信息

/var/log/maillog //記錄郵件情況

/var/log/messages //記錄內核、系統、程序等綜合性情況

/var/log/ntpstats/ //記錄ntp時間同步信息

/var/log/prelink/ //記錄prelink程序工作情況（預鏈接工具）

/var/log/wtmp //記錄所有用戶登陸成功的信息

/var/log/sa/ //記錄sar（性能統計工具，分析性能）情況

/var/log/secure //記錄hu安全認證情況（PAM認證）、一般記錄密碼情況

/var/log/spooler //保存特殊文件的情況，並只記錄crit級別日誌

/var/log/tallylog //記錄pam認證相關內容

/var/log/yum.log //記錄yum安裝情況

2.wtmp、btmp、lastlog日誌文件查看

lastlog //查看所有登陸成功的信息（讀取/var/log/wtmp）

lastlogb //查看所有登陸失敗的信息（讀取/var/log/btmp）

w或who //查看當前已登陸用戶信息（讀取/var/log/lastlog）

3.日誌格式

1）

Jun 25 10:16:53 xueluo abrtd: Init complete, entering main loop

發生時間 主機名 程序名:事件

2）

08:33:24,071 INFO : Copying anaconda logs

發生時間 日誌級別/程序名:事件

4.日誌級別

0（EMERG）緊急：系統不可用

1（ALERT）警告：必須馬上採取措施

2（CRIT）嚴重：比較嚴重的錯誤

3（ERR）錯誤：軟件運行出現錯誤

4（WARNING）提醒：可能影響系統功能，給出用戶提醒

5（NOTICE）注意：不會影響系統功能，給出用戶提醒

6（INFO）信息：一般信息

7（DEBUG）調試：程序或系統調試信息

注：一般程序記錄日誌級別爲3、4、6、7比較常見

二、遠程日誌管理

部署服務端

1.關閉防火牆和selinux

1)/etc/init.d/iptables stop //清空防火牆規則

2)setenforce 0 //臨時允許Selinux

2.開啓rsyslog服務的514號端口

vim /etc/rsyslog.conf

:set nu(顯示行號)

$ModLoad imudp //13行，刪除#
$UDPServerRun 514 //14行，刪除#
$ModLoad imtcp //17行，刪除#
$InputTCPServerRun 514 //18行，刪除#

3.編寫配置文件

1)grep fromhost -r /usr/share/doc/rsyslog*

2)vim /etc/rsyslog.d/remote.conf

:fromhost-ip,isequal, "192.168.12.41" /var/log/remote-1.log
:fromhost-ip,isequal, "192.168.12.41" ~ ## 添加~後客戶端的信息只保存在上面的文件中
:fromhost-ip,isequal, "192.168.12.42" /var/log/remote-2.log
:fromhost-ip,isequal, "192.168.12.42" ~

3)/etc/init.d/rsyslog restart

4)netstat -utpln |grep 514

部署客戶端-1

1.關閉防火牆和selinux

1)/etc/init.d/iptables stop //清空防火牆規則

2)setenforce 0 //臨時允許Selinux

2.編輯配置文件

1)vim /etc/rsyslog.conf ##註釋定義存到本地日誌文件的行(34-61) :34,63s/^/#/g

. @@(o)192.168.12.40:514 ##79行,,兩個@是走TCP（o）是爲後面的端口號用

2)/etc/init.d/rsyslog restart

部署客戶端-2

1.關閉防火牆和selinux

1)/etc/init.d/iptables stop //清空防火牆規則

2)setenforce 0 //臨時允許Selinux

2.編輯配置文件

1)vim /etc/rsyslog.conf ##註釋定義存到本地日誌文件的行(34-61) :34,63s/^/#/g（如不註釋則本地遠程各存一個日誌信息）

. @@(o)192.168.12.40:514 ##79行,,兩個@是走TCP（o）是爲後面的端口號用

2)/etc/init.d/rsyslog restart

驗證

客戶端-1：logger "123" //去服務端(tail -f /var/log/remote-1.log)

客戶端-2：logger "123" //去服務端(tail -f /var/log/remote-2.log)