11.企业中系统日志的管理实用版

系统日志管理
rsyslog 此服务作用时采集用户的日志，而且自身不产生日志，只有采集的作用

rsyslog的管理

/var/log/messages   服务信息日志
/var/log/secure     系统登陆日志`
/var/log/cron       定时任务日志
/var/log/maillog    邮件日志
/var/log/boot.log   系统启动日志

日志类型：

auth  pam产生的日志
authparv   ssh，ftp等登陆新的验证信息
cron  时间任务相关
kern 内核
lpr 打印
mail 邮件
mark（syslog）-rsyslog  服务内部的信息，时间标识
news  新闻组
user 用户程序产生的相关信息
uucp unix to copy，unix主机之间的相关通讯
local 1-7   自定义的日志设备

日志级别：

debug 有调试信息的，日志信息最多
info 一般信息的日志，最常用
notice 具有重要性的普通条件的信息
warning 警告级别
err 错误级别，组织某个功能或模块不能正常工作的信息
crit 严重级别，组织某个系统或软件不能正常工作的信息
alert 需要立即修改的信息
emerg 内核崩溃等严重信息
none 什么都不用记录

注意：从上到下，级别从低到高，记录的信息越来越少






## 远程同步日志
在日志发送方：
vim /etc/rsyslog.conf
65行  *.* @172.25.254.205  “@”表示udp协议发送。“@@”表示tcp协议发送
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190410153208724.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3l5aF9saW51eF9ub3Rl,size_16,color_FFFFFF,t_70)
systemctl restart rsyslog
在日志接收方:
vim /etc/rsyslog.conf
15 $Modload inudp    日志接收模块
16 $UDPServerRun 514 开启接收端口
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190410153226716.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3l5aF9saW51eF9ub3Rl,size_16,color_FFFFFF,t_70)
systemctl restart ryslog  一定要重新打开系统，改变的才能生效
systemctl stop firewalld  关闭防火墙
systemctl disbale firewalld 设定防火墙开机关闭
测试：
在发送方和接收方清空日志文件
> /etc/rc.d/rc.local
reboot
> /var/log/messages

在日志的发送方
logger test  生成一个日志
cat /var/log/messages 查看日志已经生成

![在这里插入图片描述](https://img-blog.csdnimg.cn/20190410153317411.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3l5aF9saW51eF9ub3Rl,size_16,color_FFFFFF,t_70)