linux日誌分類及分級
1、日誌類型:
authpriv 安全認證
cron 定時任務(at 和 cron)
daemon 後臺進程
kern 內核
mail 郵件系統
syslog 日誌服務
lpr 打印
news 新聞系統
uucp uucp系統
local0~local7 自定義類型,系統保留,給其它用戶或程序自定義使用
lpr、news、uucp類型不常用,其它6種常用。
2、級別(由輕到重):
debug 排錯信息
info 正常信息
notice 稍微注意信息
warm 警告信息
err 錯誤信息(error)
crit 關鍵錯誤(critcal)
alert 警報信息
emerg 緊急信息(emergency)
3、日誌服務
日誌服務在各版本變化
5版本:syslog 配置文件:/etc/syslog.conf
6版本:rsyslog 配置文件:/etc/rsyslog.conf
4、詳解配置文件內容
. :代表『比後面還要高的等級都被記錄下來』的意思,
.= :代表所需要的等級就是後面接的等級而已, 其他的都不要!
.! :代表不等於,亦即是除了該等級外的其他等級都記錄。
例如:
cron.none 對於cron類型日誌不記錄任何信息
cron.=err 對於cron類型日誌只記錄err級別的信息
cron.err 對於cron類型日誌記錄大於err級別的信息
cron.!err 對於cron類型日誌不記錄err級別的信息,其他級別都記錄
對配置文件中的內容解釋
1)、 *.info;mail.none;authpriv.none;cron.none /var/log/messages
所有類型的級別高於正常信息(包含正常信息),除了mail、authpriv、cron類型,
都記錄到/var/log/messages
2)、 # The authpriv file has restricted access.
authpriv.* /var/log/secure
所有認證類型的任何級別信息都記錄到/var/log/secure
3)、 # Log all the mail messages in one place.
mail.* -/var/log/maillog
所有郵件類型的任何級別信息都記錄到/var/log/maillog
-/var/log/maillog “-”表示先將信息保存到內存的buffer中,最後再寫入/var/log/maillog
4)、 # Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
uucp,news類型的高於crit級別(包括crit級別)記錄到/var/log/spooler
5、實例自定義sshd服務日誌
自定義sshd服務日誌需要修改sshd的配置文件/etc/ssh/sshd_config和rsyslog的配置文件/etc/rsyslog.conf
1)、配置sshd的配置文件,自定義日誌類型爲local0
[root@lnmp01 ~]# vim /etc/ssh/sshd_config
#SyslogFacility AUTH
SyslogFacility local0
#SyslogFacility AUTHPRIV
#LogLevel INFO
2)、配置日誌服務rsyslog的配置文件,配置日誌類型local0的日誌存放位置/var/log/sshd1.log
[root@lnmp01 ~]# vim /etc/rsyslog.conf
# Save boot messages also to boot.log
local7.* /var/log/boot.log
local0.* /var/log/sshd1.log
3)、需要重啓sshd和rsyslog服務,配置文件纔會生效。重啓rsyslog服務後,會在/var/log文件夾下生成 一個sshd1.log的文件。
rsyslog服務重啓前:
[root@lnmp01 ~]# ls /var/log/sshd1.log
ls: cannot access /var/log/sshd1.log: No such file or directory
重啓sshd和rsystem服務:
[root@lnmp01 ~]# service sshd reload
Reloading sshd: [ OK ]
[root@lnmp01 ~]# service rsyslog reload
也可使用service sshd restart啓啓服務,restart與reload區別:restart直接重啓服務,服務關閉後啓動;而reload是平滑啓動服務,不需要關閉服務,與服務連接的進程不會受到影響。
rsyslog服務重啓後:
[root@lnmp01 ~]# ll /var/log/sshd1.log
-rw-------. 1 root root 0 Dec 25 19:05 /var/log/sshd1.log
4)、驗證配置sshd日誌服務是否生效
[c:\~]$ ssh 192.167.1.12
Connecting to 192.167.1.12:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Last login: Fri Dec 25 19:24:58 2015 from 192.167.1.101
查看/var/log/sshd1.log文件
[root@lnmp01 ~]# cat /var/log/sshd1.log
Dec 25 19:24:18 lnmp01 sshd[2728]: Server listening on 0.0.0.0 port 22.
Dec 25 19:24:18 lnmp01 sshd[2728]: Server listening on :: port 22.
Dec 25 19:24:57 lnmp01 sshd[2731]: Accepted password for root from 192.167.1.101 port 64565 ssh2
Dec 25 19:26:29 lnmp01 sshd[2761]: Failed password for root from 192.167.1.101 port 64576 ssh2
Dec 25 19:26:33 lnmp01 sshd[2761]: Accepted password for root from 192.167.1.101 port 64576 ssh2