常見的日誌文件
/var/log/messages:系統主日誌文件
/var/log/messages:動態查看日誌文件的尾部
/var/log/secure:認證、安全
/var/log/yum.log:yum相關
/var/log/maillog:跟郵件postfix相關
/var/log/cron:crond、at進程產生的日誌
/var/log/dmesg:和系統啓動相關
/var/log/audit/audit.log:系統審計日誌
/var/log/mysqld.log:MySQL
/var/log/xferlog:和訪問FTP服務器相關
/var/log/wtmp:當前登錄的用戶(命令:w)
/var/log/btmp:最近登錄的用戶(命令last)
/var/log/lastlog:所有用戶的登錄情況(命令lastlog )
主配置文件
vim /etc/rsyslog.conf查看主配置文件
可以通過修改配置文件改變日誌的相關信息
用 . 分割,點前面是設備,後面是級別,*代表任意(全部)
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
#部分是註釋
第一行RULES:即規則,是一套生成日誌,以及存儲日誌的策略。規則由設備+級別+存放位置組成。
RULES由FACILITY(設備)+LEVEL(級別)+FILE(存放位置)組成。
例:
authpriv.* /var/log/secure
authpriv設備任意級別的日誌都存放到/var/log/secure中
mail.* -/var/log/maillog 這裏有一個-符號, 表示是使用異步的方式記錄
mail設備任意級別的日誌都異步存放在/var/log/maillog中
cron.* /var/log/cron
cron設備任意級別日子都存放在/var/log/cron中
*.info;mail.none;authpriv.none;cron.none /var/log/messages
任意設備的基本信息都存放在/var/log/messages中,none代表不,系統日誌排除了郵件,認證,計劃日誌。
設備類型
LOG_SYSLOG:syslogd自身產生的日誌
LOG_AUTHPRIV:安全認證
LOG_CRON:(cron and at)
LOG_MAIL:郵件系統mail subsystem
LOG_USER (default):用戶相關
LOG_DAEMON:後臺進程
LOG_FTP:ftp daemon
LOG_KERN:kernel messages
LOG_LPR:打印機
LOG_LOCAL0 through LOG_LOCAL7:用戶自定義設備
級別
level級別
LOG_EMERG 緊急,致命,服務無法繼續運行,如配置文件丟失
LOG_ALERT 報警,需要立即處理,如磁盤空使用95%
LOG_CRIT 致命行爲
LOG_ERR 錯誤行爲
LOG_WARNING 警告信息
LOG_NOTICE 普通,重要的標準信息
LOG_INFO 標準信息
LOG_DEBUG 調試信息,排錯所需,一般不建議使用
從下到上,級別從低到高,記錄的信息越來越少