企业级LInux系统日志管理

1. rsyslog   服务

  此服务是用来采集系统日志的，他不产生日志，只起到采集作用

2.rsyslog的管理

各个日志文件中保存的信息

/var/log/message	服务信息日志
/var/log/secure	系统登录日志
/var/log/cron	定时任务日志
/var/log/maillog	邮件日志
/var/log/boot.log	系统启动日志

指定文件采集路径

日志采集规则

什么类型的日志.什么级别的日志    /var/log/file 

日志类型分为：

auth          ###pam产生的日志
authpriv      ###ssh,ftp等登录信息的验证信息
cron          ###时间任务相关
kern          ###内核
lpr           ###打印
mail          ###邮件
mark(syslog)-rsylog   ###服务内部信息，时间标识
news          ###新闻组
uucp          ###unix to unix copy ，unix主机之间相关的通讯
local         ###自定义的日志设备

日志级别分为：

debug          ###有调试信息的，日志信息最多
info           ###一般信息的日志，最常用
notice         ###最具有重要性的普通条件信息
warning        ###警告级别
err            ###错误级别，阻止某个功能或者模块不能正常工作的信息crit           ###严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert          ###需要立即修改的信息
emerg          ###内核崩溃等严重信息
none           ###什么都不记录

注意：从上到下，级别从高到低，记录的信息越来越少
详细的额可以查看手册：man 3 syslog

3.日志的远程同步

在日志的发送方：
vim /etc/rsyslog.conf
55 *.*  @172.25.80.249    ##'@'表示udp协议发送，'@@'表示tcp协议发送

如上图：将claint端的所有信息传送给服务端（IP地址：172.25.80.248）

systemctl  restart rsyslog （重启日志服务rsyslog）

在日志接收方：
vim /etc/rsyslog.conf
$ModLoad imudp            ##日志接收模块
$UDPServerRun 514         ##开启接收端口

systemctl restart rsyslog
systemctl stop firewalld       ##关闭火墙
systemctl disable firewalld    ##设定火墙开机不自启

测试：
在发送方和接收方都清空日志文件
>/var/log/messages

在日志的发送方
logger test

cat /var/log/message    ###查看日志已经生成

日志采集格式的指定

vim /etc/rsyslog.conf

$template WESTOS,"%****% %****%\n"
%timegenerated%       ##显示日志时间

%FROMHOST-IP%         ##显示主机ip

%syslogtag%           ##日志记录目标

%msg%                 ##日志内容

\n                    ##换行

*.*              /var/log/westos;WESTOS

cat /var/log/westos

附加：利用日志系统进行排错：

1.将日志清空

>/var/log/messages

2.将报错的命令，重新运行

如：systemctl restart named

3.查看日志

cat /var/log/messages     ###在报错的日志中会出现错误出现的文件的位置，我们就可以在此位置着重查找错误