一、日誌分類:
facility: 設施,從功能或程序上對日誌進行分類
auth, authpriv, cron, daemon, kern, lpr,mail, mark, news, security, user, uucp, local0-local7, syslog
其中,local0-local7爲自定義facility
priority: 日誌級別(從低到高排序)
debug, info, notice, warn(warning),err(error), crit(critical), alert, emerg(panic)
*:代表所有級別
none:代表沒有級別,即不收集日誌
某一個priority:代表該priority以及比該priority級別高的日誌信息
=priority:只收集此priority的日誌信息,不收集級別更高的日誌信息
二、日誌收集規則:
facility.priority target
target:
文件路徑:將日誌記錄於指定的文件中,通常在/var/log目錄下,文件路徑前的‘-’表示異步寫入
用戶: 將日誌溶質給指定用戶,*表示爲所有用戶
日誌服務器: 格式爲@host,將日誌發送給rsyslog服務器
管道: 格式爲| COMMAND ,使用命令來處理日誌
規則示例:
三、應用示例:
示例1
使用rsyslog收集本機的sshd日誌,並輸出到/var/log/sshd.log中
1. 查看sshd默認的日誌信息
vim /etc/ssh/sshd_config
vim /etc/rsyslog.conf
tail /var/log/secure
2. 修改sshd日誌存放路徑:
vim /etc/ssh/sshd_config
service sshd reload //重載配置
vim /etc/rsyslog.conf
service sshd restart //使用reload無效
效果:
示例二
192.168.1.102部署爲rsyslog的服務器,收集其他主機的日誌信息
192.168.1.100主機名爲node1,收集sshd日誌,發送給rsyslog服務器
192.168.1.103主機名爲node2,收集sshd日誌,發送給rsyslog服務器
1. 配置rsyslog服務器
vim /etc/rsyslog.conf
service rsyslog restart //重啓服務
2. 配置node1
hostname node1 //配置主機名
vim /etc/ssh/sshd_config
service sshd reload //重載配置
vim /etc/rsyslog.conf
service rsyslog restart
3. 配置node2
hostname node2
vim /etc/ssh/sshd_config
service sshd reload
vim /etc/rsyslog.conf
service rsyslog restart
效果:
tail /var/log/sshd.log //在rsyslog服務器上查看所有主機的sshd日誌信息
四、系統登錄相關的二進制格式日誌:
/var/log/wtmp: 當前系統上成功登錄的日誌,可以使用last查看
ll /var/log/btmp:當前系統上登錄失敗的日誌,可以使用lastb查看
可使用lastlog查看當前系統上的所有用戶最後一次登錄的時間