本文介绍了Linux系统中日志的基本功能与位置,详细列举了常见的日志文件及其用途,如系统服务日志、安全认证日志等。此外,还讲解了如何自定义日志、实现远程日志同步及使用journal工具进行高效日志分析。
1.日志的功能:排错、记录一些常用的信息等
2.日志位置:/var/log
3.常见日志文件
*)/var/log/messages 系统服务及日志,包括服务的信息,报错等等
(产生本条日志的时间 产生本条日志的机器 产生日志的应用程序 日志内容)
(可以下载qstartdict软件查看日志中的英文单词)
*)/var/log/secure 系统认证信息日志
(ssh正常登陆的日志)
*)/var/log/maillog 系统邮件服务信息
(非常重要:在配置mail服务器时出错时可以查看记录)
*)/var/log/cron 系统定时任务信息
(记录的计划(定时)任务每次执行的记录)
*)/var/log/boot.log 系统启动信息
*)/var/log/xferlog ftp的日志
(记录谁从你这下载文件信息)
*)/var/log/lastlog 安全日志
(注:lastlog日志只能用lastlog命令去查看,记录操作系统每一个账户最后一次登陆的时间)
*)/var/loog/wtmp 安全日志
(注:只能用lsat命令查看,记录最后一个月内登陆操作系统的账户的记录日志)
*)/var/log/btmp 安全日志
(注:只能用lastb命令查看,ssh远程登陆时未登陆成功的信息)
4.自定义自己的日志
#日志:内核提供的功能
*)首先需要在内核配置里面开启自己的日志服务:systemctl start/stop/restart rsyslog (开启/关闭/重启)
rsyslog:1. 负责采集日志和分类存放日志 2.日志分类
*)修改主配置文件:vim /etc/rsyslog.conf
服务.日志级别 /存放文件
(*.* /var/log/mylog 所有对象的所以级别的全部日志都保存在/var/log/mylog内)
(注意:需要将mylog文件创建出来,并且给出权限 用tail -f /var/log/mylog查看)
( man 3 syslog)
#可以写的日志对象
auth pam产生的日志
authpriv ssh,ftp等登录信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark(syslog)–rsyslog 服务内部的信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy, unix主机之间相关的通讯
local 1~7 自定义的日志设备
#日志级别
debug 有调式信息的,日志信息最多
info 般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
none 什么都不记录
(注意:从上到下,级别从低到高,记录的信息越来越少)
####连接符号####
———————————————————————-
*).xxx: 表示大于等于xxx级别的信息
*).=xxx:表示等于xxx级别的信息
*).!xxx:表示在xxx之外的等级的信息
#实例
#. 记录到普通文件或设备文件::
*)*.* /var/log/file.log # 绝对路径
*)*.* /dev/pts/0
测试: logger -p local3.info ‘KadeFor is testing the rsyslog and logger ‘ logger 命令用于产生日志
#. 发送给用户(需要在线才能收到)
*)*.* root
*)*.* root,kadefor,up01 # 使用,号分隔多个用户
*)*.* * # *号表示所有在线用户
#. 忽略,丢弃
*)local3.* ~ # 忽略所有local3类型的所有级别的日志
#. 执行脚本::
*)local3.* ^/tmp/a.sh # ^号后跟可执行脚本或程序的绝对路径
# 日志内容可以作为脚本的第一个参数.
# 可用来触发报警
5.远程日志服务器
*)需要两台主机(一台服务端,一台客户端)
首先关闭两台机器的防火墙
*)修改配置文件
客户端
服务端(打开端口)
*)测试
###日志同步
*)systemctl stop firewalld 关闭两台主机的火墙
#配置日志发送方
*)*.* @172.25.0.11 通过udp协议把日志发送到11主机,@udp,@@tcp
#配置日志接受方
*)15 $ModLoad imudp 日志接收插件
*)16 $UDPServerRun 514 日志接收插件使用端口
*)netstat -anulpe | grep rsyslog
udp 0 0 0.0.0.0:514 0.0.0.0:* 0 122073 32654/rsyslogd
udp6 0 0 :::514 :::* 0 122074 32654/rsyslogd
#测试
*)> /var/log/messages 两边都作
*)logger test message 日志发送方
*)tail -f /var/log/message 日志接收方
6.日志的采集
#采集格式
*)$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
*)%timegenerated% ##显示日志时间
*)%FROMHOST-IP% ##显示主机ip
*)%syslogtag% ##日志记录目标
*)%msg% ##日志内容
*)\n ##换行
*)$ActionfileDefaultTemplate WESTOS
*)*.info;mail.none;authpriv.none;cron.none /var/log/messages;<<WESTOS>>
7.日志分析工具journal
*)systemd-journald 进程名称
*)journalctl 直接执行,浏览系统日志
*)-n 3 显示最新3条
*)-p err 显示报错
*)-f 监控日志
*)--since --until --since "[YYYY-MM-DD] [hh:mm:ss]" 从什么时间到什么时间的日志
*)-o verbose 显示日志能够使用的详细进程参数
_SYSTEMD_UNIT=sshd.service服务名称
_PID=1182进程pid
*)对systemd-journald管理
*)默认情况下此程序会忽略重启前的日志信息,如不忽略:
*)mkdir /var/log/journal
*)chown root:systemd-journal /var/log/journal
*)chmod 2755 /var/log/journal
*)killall -1 systemd-journald
*)ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
*)system.journal user-1000.journal
《——END——》
扫一扫
1041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
