linux中的日志服务

linux系统日志：

功能：审计和监测。它还可以实时的监测系统状态，监测和追踪侵入者等等

日志对于安全来说，非常重要，它记录了系统每天发生的各种各样的事情，你可以通过它来检查错误发生的原因，或者受到攻击时，攻击者留下的痕迹。

“ /var/log ”是存放日志的位置，“ rsyslog ”负责采集日志和分类存放日志

1.系统日志默认分类：

/var/log/messages             系统服务及日志，包括服务的信息，报错等等
/var/log/secure                  系统认证信息日志
/var/log/maillog                  系统邮件服务信息
/var/log/cron                     系统定时任务信息
/var/log/boot.log                系统启动信息

日志设备(可以理解为日志类型)：

auth                                 pam产生的日志
authpriv                            ssh,ftp等登录信息的验证信息
cron                                 时间任务相关
kern                                 内核
lpr                                    打印
mail                                  邮件
mark(syslog)–rsyslog        服务内部的信息,时间标识
news                                新闻组
user                                 用户程序产生的相关信息
uucp                                 unix to unix copy, unix主机之间相关的通讯
local 1~7                           自定义的日志设备

日志级别：

debug                                有调式信息的，日志信息最多
info                                    般信息的日志，最常用
notice                                 最具有重要性的普通条件的信息
warning                              警告级别
err                                      错误级别，阻止某个功能或者模块不能正常工作的信息
crit                                     严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert                                    需要立刻修改的信息
emerg                                 内核崩溃等严重信息
none                                   什么都不记录

连接符号：

.xxx: 表示大于等于xxx级别的信息
.=xxx：表示等于xxx级别的信息
.!xxx：表示在xxx之外的等级的信息

2.日志同步

配置文件为“ /etc/rsyslog_conf ”

日志同步就是将一台主机生成的日志发送到另一台主机的过程

接收日志方：关闭防火墙并查看：

输入“ vim /etc/rsyslog.conf ”进入配置文件，改为下图一样，“ :wq ”退出保存

输入“ systemctl restart rsyslog.conf ”重启服务

日志发送方：关闭防火墙并查看：

同样，“ vim /etc/rsyslog.conf ”进入配置文件，将接收方的ip添加至文件中，“ :wq ”保存退出

输入“ vim systemctl restart rsyslog ” 重启服务，两边都输入“ > /var/log/manages ”清空日志，日志发送方输入" logger test message ”产生日志，如图：

日志接收方，可输入“ cat /var/log/messages ”查看日志，如图：

由此可知，日志已经同步成功了。