系统的日志管理
日志
/var/log/message (储存日志的文件)清空
rebort 清空后需要重起
日志服务
1.rsyslog
采集日志的程序 收集到指定位置 ,他不产生日志,只起到采集作用
采集规则(46行)
vim /etc/rsyslog.conf
日志采集规则:
什么类型的日志.什么级别的日志 /var/log/file
2.rsyslog的管理
1
/var/log/messages | 服务信息日志 |
---|---|
/var/log/secure | 系统登陆日志 |
/var/log/cron | 定时任务日志 |
/var/log/maillog | 邮件日志 |
/var/log/boot.log | 系统启动日志 |
日志类型
auth | pam产生的日志 |
---|---|
authpriv | ssh,ftp等登陆信息的验证信息 |
cron | 时间任务相关 |
kern | 内核 |
lpr | 打印 |
邮件 | |
mark(syslog)-rsylog | 服务内部的信息,时间标示 |
日志级别
debug | 有调式信息的,日志信息最多 |
---|---|
info | 一般信息的日志,最常用 |
notice | 最具有重要信息的普通条件的信息 |
warning | 警告级别 |
err | 错误级别,阻止某个功能或模块不能正常工作的信息 |
crit | 严重级别,组织整个系统或软件不能正常工作的信息 |
alert | 需要立即修改的信息 |
emerg | 内核崩溃等严重信息 |
none | 什么都不记录 |
注意:从上到下,级别从底到高,记录的信息越来越少
详细信息可以查看手册 :man 3 syslog
操作示例 :
目的: 把系统中所有日志采集到/var/log/westos文件中
操作:
vim /etc/rsyslog.conf
*.* /var/log/westos #所有日志类型和级别都保存在/var/log/westos
systemctl restart rsyslog
ll /var/log/westos ##查看这个目录的信息
测试
systemctl restart sshd ##命令目的为了生成日志
cat /var/log/westos ##此文件出现日志信息
3.日志的远程同步
(1)在日志接受方:(服务主机)
vim /etc/rsyslog.conf
*.* @172.25.254.236 ##@ 表示upd协议发送##@@ 表示tcp协议发送
systemctl restart rsyslog
(2)在日志发送方 (客户主机)
vim /etc/rsyslog.conf
15 $Modload imudp ##日志接受模块
16 $UDPServerRun 514 ##开启接受端口
systemctl restart rsyslog
(3)关闭防火墙,允许接受其他主机发送的消息
systemctl stop firewalld ##关闭防火墙
systemctl disable firewalld ##设定火墙开机关闭
(4)测试:
在发送和接受方都清空日志文件
> /var/log/messages
在日志的发送方:(客户机)
logger test
cat /var/log/message ##查看日志已经生成
在日志接受方查看(服务主机)
cat /var/log/messages