LINUX日志管理-rsyslog

日志管理

日志简介:

LINUX日志就是记录系统活动记录的文件，例如如何时，何地，何人，做了是么事情，另外就是系统在什么么时候有事么样的行为，发生了什么事件。

日志功能：

解决系统故障：

这个对系统管理员来说很重要，如启动过程中检测到的硬件数据都会内存中，由于这些检测的信息可以让我们了解硬件，人所以系统发生问题时，可以执行dmesg命令来查看硬件是否出错。另外就是如果系统出现了系统资源被耗尽，核心活动发生错误，等都可能，则系统登录文件也会将错误信息记录到登陆文件，通常就是/var/log/messages,这些可以帮助你解决问题。

解决网络问题：

在安装设置新服务套件时，最常用到这个功能。例如安装sendmail和postfix服务时也会用到。如无法发送邮件等问题，那么这些问题就将记录在登录文件中，只要分析登录文件就可以解决问题的确切位置了，并能很好的解决。

记录登陆信息：

例如apache这个www服务死机了，怎么知道死机。最后的登陆者是谁，这样可以通过分析apache的登陆文件获取信等问题。
常见系统日志服务：
sysklogd(CentOS-5之前版本)包含两个软件包：(syslogd,system application)记录应用日志、(klogd,linux kernel)记录内核日志
rsyslog 特性：CentOS6 和7
特点：
多线程，支持高并发
支持以(UDP, TCP, SSL, TLS, RELP)等协议完成远程日志的记录
还支持在MySQL, PGSQL, Oracle等数据库上实现日志存储
同时拥有强大的过滤器，可实现过滤记录日志信息中任意部分
（三）rsyslog.conf中日志规则的定义的格式
facitlity.priority target
"."表示记录后面等级以及以上等级
".="表示仅记录后面等级的做记录
".!"表示仅记录后面等级之外的等级
facility日志类型:

代码	意义
auth	pam产生的日志，认证日志
authpriv	ssh,ftp等登录信息的验证信息，认证授权认证
cron	时间任务相关
kern	内核
lpr	打印
mail	邮件
mark(syslog)	rsyslog服务内部的信息,时间标识
news	新闻组
user	用户程序产生的相关信息
uucp	unix主机之间相关的通讯
local0~7	自定义的日志设备

priority日志级别:

代码	意义
debug	有调式信息的，日志信息最多
info	一般信息的日志，最常用
notice	最具有重要性的普通条件的信息
warning,warn	警告级别
err,error	错误级别，阻止某个功能或者模块不能正常工作的信息
crit	严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert	需要立刻修改的信息
emerg,panic	内核崩溃等严重信息
*	所有级别
none	无级别

代码	意义
文件	/var/log/messages
用户	root，*（表示所有用户）
日志服务器	@172.16.22.1
管道	COMMAND

从上到下，级别从低到高，记录的信息越来越少，如果设置的日志内性为err，则日志不会记录比err级别低的日志，只会记录比err更高级别的日志，也包括err本身的日志。
target日志目标：

代码	意义
文件	/var/log/messages
用户	root，*（表示所有用户）
日志服务器	@172.16.22.1
管道	COMMAND

日志远程服务器 @@表示tcp协议，@表示udp协议