系统日志管理
一.rsyslog
此服务是用来采集系统日志的,它不产生日志,只起到采集作用。
1.查看rsyslog服务的状态:
| 命令 |
systemctl status rsyslog.service |
示例:
2.基本操作:
| > /var/log/messages | 清空 |
| cat /var/log/messages | 查看 |
| systemctl restart sshd.service | 重新开启 |
| systemctl stop rsyslog.service |
停止服务 |
注意:
此服务是用来采集系统日志信息的,当关闭采集服务时,日志内将不会接受任何信息,只有开启采集服务时,才会接受消息,所以解决方法为:
| > /etc/rc.d/rc.local |
| reboot |
二.rsyslog 的管理
1.日志的说明:
| /var/log/messages | 服务信息日志 |
| /var/log/secure | 系统登陆日志 |
| /var/log/cron | 定时任务日志 |
| /var/log/maillog | 邮件日志 |
| var/log/boot.log | 系统启动日志 |
2.指定日志采集路径:
什么类型的日志.什么级别的日志
1)日志的类型:
| auth | pam产生的日志 |
| authpriv | ssh、ftp等登陆信息的验证信息 |
| cron | 时间任务相关 |
| kern | 内核 |
| 邮件 | |
| mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unix to unix copy unix主机之间相关的通讯 |
| local 1~7 |
自定义的日志设备 |
2)日志的级别:
| debug | 有调试信息的,日志信息最多 |
| info | 一般信息的日志,最常用 |
| notice | 最具有重要性的普通条件的信息 |
| warning | 警告级别 |
| err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
| crit | 严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
| alert | 需要立即修改的信息 |
| emerg | 内核崩溃等严重信息 |
| none | 什么都不记录 |
注意 :从上到下,级别从低到高,记录的信息越来越少
重点 :
操作过程:
目的:把系统中所有日志采集到/var/log/westos文件中
第一步,操作:
| vim /etc/rsyslog.conf 进入/etc/rsyslog.conf文件配置中,并使配置立即生效 |
| * . * /var/log/westos 在配置中新增所有类型级别的日志以及其被采集的路径 |
| systemctl restart rsyslog 重启rsyslog服务 |
第二步,测试:
| systemctl restart sshd | 生成日志 |
| cat /var/log/westos | 查看日志信息 |
示例:
三.日志的远程同步:
1.步骤:
1)在日志的发送方:
| vim /etc/rsyslog.conf 进入日志配置 |
| * . * @172.25.254.200 “@”表示udp协议发送,“@@”表示tcp协议发送 |
| systemctl restart rsyslog 使rsyslog服务立即生效 |
2)在日志的接受方:
| vim /etc/rsyslog.conf 进入日志配置 |
| 15 $ModLoad imudp 日志接收模块 |
| 16 $UDPServerRun 514 开启接收端口(将15-16行前的注释取消掉) |
| systemctl restart rsyslog 使rsyslog服务立即生效 |
| systemctl stop firewalld 关闭火墙 |
| systemctl disable firewalled 设定火墙开机关闭 |
3)测试:
| 在发送方和接收方都清空日志文件 | > /var/log/messages |
| 在日志的发送方 |
logger tes |
示例: