系統日誌
1.系統默認分類
/var/log/messages 系統服務及日誌包括服務的信息 報錯
/var/log/secure 系統認證信息日誌
/var/log/maillog 系統郵件服務信息
/var/log/cron 系統定時任務信息
/var/log/boot.log 系統啓動信息
2.日誌管理服務rsyslog。service
1.rsyslog採集分類日誌,不是生成
2.rsyslog日誌分類
/etc/rsyslog.conf 主配置文件
*.* 存放文件
服務.日誌級別 /var/log/westos
systemctl restart rsyslog 在修改完配置文件後要重啓rsyslog服務
3.日誌分析工具journal
systemd-journald 進程名稱
journalctl 直接執行,瀏覽系統日誌
journalctl -n 5 最新5條
journalctl -p err 顯示報錯
journalctl -f 監控日誌生成 =tail -f
journalctl --since ”toda【yyyyy-mm-dd】【hh:mm:ss】“ --until“”
journalctl -o verbose 顯示日誌能夠使用的詳細進程參數
_SYSTEMD_UNIT=sshd.server 服務名稱
_PID 進程PID
對systemd-journald的管理
默認情況下此程序會忽略重啓之前的日誌信息,如不忽略 ,操作如下
mkdir /\u52a1\u540d\u79f0
130 ##_PID=1182\u8fdb\u7a0bpid
4.格式
日誌設備類型.日誌級別 日誌處理方式
auth pam產生的日誌
authpriv ssh。ftp 等登陸信息的驗證信息
cron 時間任務相關
kern 內核
lpr 打印
mail 郵件
mark(syslog)-rsyslog 服務內部的信息,時間標示
news 新聞組
user 用戶程序產生的相關信息
uucp unix to unix copy,unix主機之間相關的通訊
local 1~7 自定義的日誌設備
5.日誌級別
debug 有調試信息的,日誌信息最多
info 一般信息的日誌,最常用
notice 最具有重要性的普通條件的信息
warning 警告級別
err 錯誤級別,阻止某個功能或者模塊不能正常工作的信息
crit 嚴重級別 ,阻止整個系統或者整個軟件不能正常工作的信息
alert 需要立即修改的信息
emerg 內核崩潰等嚴重信息
none 什麼都不記錄
注意:從上到下,級別從高到底,記錄的信息越來越少
詳細可以查看手冊:man 3 syslog
6.連接符號
.xxx 表示大於等於xxx級別的信息
.=xxx 表示等於xxx級別的信息
.!xxx 表示在xxx之外的級別信息
7.示例
1.記錄到普通文件或設備文件:
*.* /var/log/file.log
*.* /dev/pts/0
logger -p local3,info 'KadeFor is testing the rsyslog and logger'
2.發送給用戶(需要在線才能收到)
*.* root 使用,號分隔多個用戶
*.* root,kadefor,up01 *表示所有在線用戶
*.* *
3.忽略,丟棄
local.* ~ 忽略所有local3類型的所有級別的日誌
4.執行腳本
local3.* ^/tmp/a.sh ^號後跟可執行腳本或程序的絕對路徑
8.日誌同步
systemctl stop firewalld 關閉兩臺主機的防火牆
日誌發送方
*.* @172.25.0.11 通過udp協議把日誌發送到11主機 @ udp @@tcp
日誌接受方
$ModLoad imudp 日誌接收插件
$UDPServerRun 514 日誌接受插件使用端口、
9.日誌採集格式
$template WESTOS,"timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
messages後加上WESTOS