Linux系統之系統日誌

原創

Stephen_Curry11

2020-02-23 19:41

一、系統默認日誌分類

1、/var/log/messages ##系統服務及日誌，包括服務的信息，報錯等等

2、var/log/secure ##系統認證信息日誌

3、/var/log/maillog    ##系統郵件服務信息
4、/var/log/cron       ##系統定時任務信息
5、/var/log/boot.log   ##系統啓動信息

二、日誌管理服務

1.rsyslog負責採集日誌和分類存放日誌

2.rsyslog日誌分類
vim /etc/rsyslog.conf   ##主配置文件
服務.日誌級別       /存放文件
*.*         /var/log/files

systemctl restart rsyslog

生成一個日誌後將會記錄到file1文件中

logger命令用於產生一條日誌

上述命令中“*.*”中，第一個*匹配日誌設備（類型）：

auth ##pam產生的日誌

authpriv            ##ssh,ftp等登錄信息的驗證信息
cron                ##時間任務相關
kern                ##內核
lpr                 ##打印
mail                ##郵件
mark(syslog)–rsyslog   ##服務內部的信息,時間標識
news                ##新聞組
user                ##用戶程序產生的相關信息
uucp                ##unix to unix copy, unix主機之間相關的通訊
local 1~7           ##自定義的日誌設備

第二個*匹配日誌級別：

debug ##有調式信息的，日誌信息最多

info                ##般信息的日誌，最常用
notice              ##最具有重要性的普通條件的信息
warning             ##警告級別
err                 ##錯誤級別，阻止某個功能或者模塊不能正常工作的信息
crit                ##嚴重級別，阻止整個系統或者整個軟件不能正常工作的信息
alert               ##需要立刻修改的信息
emerg               ##內核崩潰等嚴重信息
none                ##什麼都不記錄

注意：從上到下，級別從低到高，記錄的信息越來越少

詳細的可以查看手冊: man 3 syslog

連接符號：

.xxx: 表示大於等於xxx級別的信息
.=xxx：表示等於xxx級別的信息
.!xxx：表示在xxx之外的等級的信息

三、日誌同步

1、關掉兩部虛擬機的火牆

2、配置日誌發送方（在發送方的/etc/rsyslog.conf）

*.* @172.25.0.11 ##通過udp協議把日誌發送到11主機，其中：@表示udp，@@表示tcp

3、配置日誌接收方

15 $ModLoad imudp 日誌接收插件

16 $UDPServerRun 514 日誌接收插件使用端口

在/etc/rsyslog.conf文件中，將這兩行前的#去掉

4、測試

> /var/log/messages ##將日誌清空，便於查詢同步日誌（兩邊都做）

logger test message ##產生日誌信息，只在發送方做

cat /var/log/message ##在接受方做，查看是否同步過來

四、日誌採集格式

$template WESTOS, "%timegenerated% %FROMHOST-IP%%syslogtag% %msg%\n"
*.info;mail.none;authpriv.none;cron.none /var/log/messages;WESTOS ##表示以WESTOS這種形式記錄日誌