日志管理：Syslog日志采集

Syslog概述

端口：514

Syslog配置

配置文件：/etc/syslog.conf

格式：facility.level action

选择条件		操作动作
消息类型	重要级别	file 指定文件的绝对路径
kern 内核信息	debug 不包含函数条件或问题的其他信息	terminal 或 prin 完全的串行或并行设备标志符
user 用户进程信息	info 提供信息的消息	@host（@IP地址） 远程的日志服务器
mail 电子邮件相关信息	none 没有重要级，通常用于排错
daemon 后台进程相关信息	notice 具有重要性的普通条件
authpriv 包括特权信息如用户名在内的认证活动	warning 预警信息
cron 计划任务信息	err 阻止工具或某些子系统部分功能实现的错误条件
syslog 系统日志信息	crit 阻止某些工具或子系统功能实现的错误条件
lpr 打印服务相关信息	alert 需要立即被修改的条件
news 新闻组服务器信息	emerg 该系统不可用
uucp uucp 生成的信息
local0-local7 本地用户信息

Syslog部署架构

Device（发送）-> Relay（转发）->Collector（接收，514端口）

Device（发送）->Collector（接收）

Syslog消息结构

1. PRI：<数字>，由1~3个数字组成
2. HEADER（可能不含）：时间、主机名/IP
3. MSG：TAG（可选）、Content

常用系统日志

/var/log/dmesg 内核引导信息日志

/var/log/message 标准系统错误信息日志

/var/log/maillog 邮件系统信息日志

/var/log/cron 计划任务日志

/var/log/secure 安全信息日志