日志管理:Syslog日志采集

Syslog概述

端口:514

Syslog配置

配置文件:/etc/syslog.conf

格式:facility.level action

选择条件

操作动作

消息类型

重要级别

file 指定文件的绝对路径

kern 内核信息

debug 不包含函数条件或问题的其他信息

terminal 或 prin 完全的串行或并行设备标志符

user 用户进程信息

info 提供信息的消息

@host(@IP地址) 远程的日志服务器

mail 电子邮件相关信息

none 没有重要级,通常用于排错

daemon 后台进程相关信息

notice 具有重要性的普通条件

authpriv 包括特权信息如用户名在内的认证活动

warning 预警信息

cron 计划任务信息

err 阻止工具或某些子系统部分功能实现的错误条件

syslog 系统日志信息

crit 阻止某些工具或子系统功能实现的错误条件

lpr 打印服务相关信息

alert 需要立即被修改的条件

news 新闻组服务器信息

emerg 该系统不可用

uucp uucp 生成的信息

local0-local7 本地用户信息

Syslog部署架构

Device(发送)-> Relay(转发)->Collector(接收,514端口)

Device(发送)->Collector(接收)

Syslog消息结构
  1. PRI:<数字>,由1~3个数字组成
  2. HEADER(可能不含):时间、主机名/IP
  3. MSG:TAG(可选)、Content
常用系统日志

/var/log/dmesg 内核引导信息日志

/var/log/message 标准系统错误信息日志

/var/log/maillog 邮件系统信息日志

/var/log/cron 计划任务日志

/var/log/secure 安全信息日志

你可能感兴趣的:(Linux系统运维,linux,运维,日志,syslog)