44、日志记录与日志安全：从基础到高级配置

日志记录与日志安全：从基础到高级配置

在Linux系统中，日志记录是系统管理和安全监控的重要组成部分。本文将介绍rsyslog、journald的基本使用，还会介绍Logwatch工具的使用，以及如何设置远程日志服务器和创建加密连接。

1. rsyslog和journald基础

• rsyslog配置更新 ：当对 rsyslog.conf 文件进行更改或在 /etc/rsyslog.d 目录添加规则文件后，需要重启rsyslog守护进程以加载新配置，命令如下：

[donnie@localhost ~]$ sudo systemctl restart rsyslog

• journald简介 ：journald是基于systemd生态系统的Linux发行版中的日志系统，它将消息发送到二进制文件，而非文本文件。目前，使用systemd的Linux发行版通常同时运行journald和rsyslog。journald日志文件默认是临时的，每次重启机器时会被删除。
• 查看journald日志 ：使用 journalctl 命令查看journald日志文件。在Ubuntu中，安装操作系统的用户会被添加到 adm 组，可无需 sudo 或root权限使用 journalc