Linux日志管理[阮胜昌]

安装rsyslog服务
[root@node201 /]# yum install rsyslog
配置文件：

连接时间日志:
 /var/log/wtmp
 /var/run/utmp

进程统计：
 pacct  
 acct

错误日志：
 /var/log/messages

常用的日志文件
 access-log 记录http/web传输
 acct/pacct 记录用户命令
 boot.log 记录开机信息
 lastlog 记录最近几次成功登陆以及最后一次不成功登陆
 messages 在syslog中记录的信息
 sudolog 记录使用sudo发出的命令
 sulog 记录使用的 su 命令
 syslog 在syslog中记录信息
 utmp记录当前登陆的每个用户的信息
 wtmp 登陆系统和退出系统的记录
 xferlog 记录FTP信息
 maillog mail的记录

常用的工具:
dmesg | more  查看最后一次引导系统的日志

tail -f /var/log/messages  //显示文本文件的最后10 行

less /var/log/messages

logger

wtmp

utmp

who   w  users   last 
 ac 记录用户连接的总时间
 ac -p

进程统计命令：
 以root命令运行
 #touch /var/log/pacct
 accton:accton /var/log/pacct
查看:
 lastcomm
关闭:accton

logrotate

grep
 grep "what to look for "  file to look in

 grep "failed"  /var/log/messages

logwatch

chklastlog

chkwtmp

dump_lastlog

spar

swatch

Zap

集中式日志服务
服务器端(接收日志的服务器)
在/etc/rsyslog.conf加入以下配置
$modload imtcp
$modload imudp
$TCPServerRun 514
$UDPServerRun 514
 #service rsyslog restart
客户端（发送方服务器配置）
 在/etc/rsyslog.conf加入以下配置
*.*  @192.168.0.205   //接收方的IP地址
 #service rsyslog restart