1.什麼是日誌
電腦的日誌相當於我們平常寫的日記,日誌裏面記錄的是服務器的狀態。
原因:
日誌的存在可以使管理員提前知道服務器的各種狀態,如果服務器出現什麼問題可以提前處理。
那麼問題來了,公司的服務器很多,難道管理員一個一個查看服務器的狀態嗎?實際上並不是這樣的,爲了提高工作效率,我們可以把所有服務器的日誌集中在一起管理,放在一臺主機上管理,將其他服務器的日誌都傳到這臺管理日誌的主機上,這樣就方便多了。
注意:系統啓動自動打開的shell會一直產生日誌
2.搭建實驗環境
key1:先在真機裏面開啓兩臺虛擬機,並且配置好網絡
key2:將真機作爲日誌的接收方,將desktop虛擬機作爲日誌的發送方
(備註:這裏真機的ip爲172.25.254.39 虛擬機ip爲172.25.254.239)
3.系統日誌管理基本概念
1.rsyslog:此服務是用來採集系統日誌的,它自己不產生日誌,只是起到採集日誌的作用
2.rsyslog的管理:
/var/log/messages 服務信息日誌
/var/log/secure 系統登陸日誌
/var/log/cron 定時任務日誌
/var/log/maillog 郵件日誌
/var/log/boot.log 系統啓動日誌
注:以上這些路徑是用來指定日誌的採集路徑
3.日誌採集規則在/var/log/file(文件名)中設置
注:心裏要清楚什麼類型的日誌,什麼級別的日誌
日誌類型
auth pam 產生的日誌
authpriv ssh,ftp等登陸信息的驗證信息
cron 時間任務相關
kern 內核
lpr 打印
mail 郵件
mark (syslog)-rsyslog服務內部的信息,時間標示
news 新聞組
user 用戶程序產生的相關信息
uucp unix to unix copy ,unix主機之間相關的通訊
local 1~7 自定義的日誌設備
**日誌級別**
debug 有調試信息的,日誌信息最多
info 一般信息的日誌,最常用的
notice 最具有重要性的普通條件信息
warning 警告級別
err 錯誤級別,阻止某個功能或者模塊不能正常工作的信息
crit 嚴重級別,阻止整個系統或者整個軟件不能正常工作的信息
alert 需要立刻修改的信息
emerg 內核崩潰等嚴重消息
none 什麼都不記錄注:從上到下,級別從低到高,記錄的信息越來越少,詳細的可以查看手冊:man 3 syslog
4.日誌的定向採集
將什麼類型、什麼級別的日誌放在哪個路徑下,這就叫日誌的定向採集
這樣做也有利於日誌的管理和查看,因此應該設計採集規則
(1)搭建實驗環境:開啓虛擬機,配置ip
(2)操作:打開設定日誌採集規則的文件 vim /etc/rsyslog.conf
(3) 在日誌採集文件裏面設置將任意類型、任何級別的日誌都存放在/var/log/westos下,如果westos文件不存在,會自動生成該文件 命令格式爲. /var/log/westos
(4)重啓系統 systemctl restart rsyslog
(5)測試:1>生成日誌 systemctl restart sshd
2>查看日誌 cat /var/log/westos
5.日誌的遠程同步
一臺服務器管理多臺服務器
在日誌發送方設置:
1.在虛擬機 desktop 中先 vim /etc/rsyslog.conf
寫入 . @172.25.254.39(接受方ip 及真機的ip)
2.退出文件後,再shell裏面輸入systemctl restart rsyslog ,重啓系統
在日誌接受方設置:
1.在主機server 主機中先 vim /etc/rsyslog.conf
2.將/etc/rsyslog.conf 這個文件中的15行和16行的註釋去掉
15 $ModLoad imudp 日誌接受模塊
16 $UDPServerRun 514 開啓接收模塊
3.重啓系統 systemctl restart rsyslog
4.關閉火牆 syatemctl stop firewalled
測試:
(1)在發送方和接受方清空日誌文件 命令:> /var/log/messages
(2) 在日誌發送方的shell當中輸入:
logger 內容
分別 cat /var/log/messages 看否有文件已經生成
