linux系统日志管理

0.什么是系统日志

后台的程序(通常被称为守护进程或者服务进程)处理了你的linux系统的大部分任务,当这些守护进程工作的时候,它们会将任务的详细信息记录进日志文件中,作为它们做过什么的‘历史’信息(包括错误信息)。

/var/log/message ##记录系统中所产生的日志

测试:
vim /etc/ssh/sshd_config
78:修改为错误的信息
systemctl restart sshd.service(服务启动报错)
>/var/log/message (清空文件)
cat /var/log/message (报错信息写入文件中)
linux系统日志管理_第1张图片

1.rsyslog服务

此服务用来采集系统日志,它不产生日志,只是起到了采集的作用。

2.rsyslog的管理

0.vim /etc/rsyslog.conf

/var/log/message      ##服务信息日志(记录linux操作系统常见的服务信息和错误信息)
/var/log/secure      ##系统的登陆日志(记录用户和工作组的变化情况,是系统安全日志,用户的认证登陆情况)
/var/log/maillog       ##邮件日志
/var/log/cron      ##定时任务
/var/log/boot.log      ##系统启动日志

mail.* 什么类型的日志.什么级别的日志(.前表示日志类型.后表示日志级别)
*.* 全部类型的日志.全部级别
linux系统日志管理_第2张图片

1.日志的类型

auth ##用户认证时产生的日志,login su命令
authpriv ##ssh,ftp等登陆服务的验证信息
cron ##与时间任务相关
kern ##系统内核信息
lpr ##与打印机活动有关
mail ##邮件日志
mark ##服务内部的信息,是时间标识(产生时间戳)
user ##用于用户程序产生的相关信息
uucp ##unix to unix copy:unix主机之间相关的通信
news.crit #新闻组(网络新闻传输协议(nnpt)产生的消息)

2.日志的级别

注:从上到下,级别从高到底,记录的信息越来越少
debug ##有调试信息(日志信息产生的最多)
info ##一般信息日志(最常用)
notice ##最具有重要性的普通条件信息(不是错误,但是有可能需要你去处理)
worning ##(警告)
err ##错误(一般错误)
alert ##需要立即修改的信息(例如:数据库损坏)
emerg ##内核崩溃
none ##不记录

3.日志的远程同步(接收方和发送方)

##发送方操作:
systemctl stop firewalld.srevice ##关闭防火墙
systemctl disable firewalld.srevice ##防火墙开机不自启
vim /etc/rsyslog.conf ##修改配置文件
51 *.*               @172.25.254.141   ##51行加入*.*(所有文件所有级别日志) @接收方IP:udp协议发送 @@接收方IP:TCP协议发送
linux系统日志管理_第3张图片
systemctl restart rsyslog.service

##在日志的接收方:
systemctl stop firewalld.srevice ##关闭防火墙
systemctl disable firewalld.srevice ##防火墙开机不自启
vim /etc/rsyslog.conf ##修改配置文件
linux系统日志管理_第4张图片

测试:
在发送方和接收方都清空日志文件
> /var/log/message
在日志的发送方:
logger test
cat /var/log/message  ##查看日志是否生成
在日志的接收方:
tail -f /var/log/message   ##动态监控文件的末尾信息

4.日志采集格式的设定(在日志的接收方做)

vim /etc/rsyslog.conf ##修改配置文件(在 RULES 中任意空白行)
$template LOGFMT,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
*.* /var/log/redhat;LOGFMT (redhat为文件 可直接新建)
linux系统日志管理_第5张图片
tail -f /var/log/redhat

%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容

                                

你可能感兴趣的:(linux系统日志管理)