1.日志采集规则
*.* 文件名称
日志类型.日志级别 日志存放文件
auth #用户登陆日志(pam生产日志)
authpriv #服务认证日志(sshd认证)
kern #内核日志
cron #定时任务日志
lpr #打印机日志
mail #邮件日志
news #新闻
user #用户相关程序日志
local #用户自定义日志
#日志级别
debug #系统调试信息
info #常规信息
warning #警告信息
err #报错(级别低,阻止了某个功能不能正常工作)
crit #报错(级别高,组织整个软件或整个系统不能正常工作)
alert #需要立即修改信息
emerg #内核崩溃
none #不采集任何日志信息
日志可以直接看出系统中的错误,日志在内存里,由服务决定
vim /etc/rsyslog.conf #查看并修改采集日志文件配置,为了让我们把日志采用到指定位置
auth.debug /var/log/westos #用户登陆的调试信息放到/var/log/westos
auth.*
*.* /var/log/log.all
#系统常用日志
/var/log/messages #所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog #邮件日志
/var/log/crog #定时任务日志
/var/log/secure #服务认证日志
实验步骤:
vim /etc/rsyslog.conf
*.* /var/log/westos
ls /var/log/westos
systemctl restart rsyslog.service #重启rsyslog系统
cat /var/log/westos
2.日志的远程同步
> /var/log/messages #清空日志
> /etc/rc.d/rc.local #清空虚拟机一直产生的日志和脚本
##在日志发送方(客户端)
vim /etc/rsyslog.conf
*.* @172.25.254.100 #日志接收方地址
systemctl restart sshd.service #重启后在接收方可以看到日志
##在日志接收方(服务端)
vim /etc/rsyslog.conf
*.* 文件名称
日志类型.日志级别 日志存放文件
auth #用户登陆日志(pam生产日志)
authpriv #服务认证日志(sshd认证)
kern #内核日志
cron #定时任务日志
lpr #打印机日志
mail #邮件日志
news #新闻
user #用户相关程序日志
local #用户自定义日志
#日志级别
debug #系统调试信息
info #常规信息
warning #警告信息
err #报错(级别低,阻止了某个功能不能正常工作)
crit #报错(级别高,组织整个软件或整个系统不能正常工作)
alert #需要立即修改信息
emerg #内核崩溃
none #不采集任何日志信息
日志可以直接看出系统中的错误,日志在内存里,由服务决定
vim /etc/rsyslog.conf #查看并修改采集日志文件配置,为了让我们把日志采用到指定位置
auth.debug /var/log/westos #用户登陆的调试信息放到/var/log/westos
auth.*
*.* /var/log/log.all
#系统常用日志
/var/log/messages #所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog #邮件日志
/var/log/crog #定时任务日志
/var/log/secure #服务认证日志
实验步骤:
vim /etc/rsyslog.conf
*.* /var/log/westos
ls /var/log/westos
systemctl restart rsyslog.service #重启rsyslog系统
cat /var/log/westos
2.日志的远程同步
> /var/log/messages #清空日志
> /etc/rc.d/rc.local #清空虚拟机一直产生的日志和脚本
##在日志发送方(客户端)
vim /etc/rsyslog.conf
*.* @172.25.254.100 #日志接收方地址
systemctl restart rsyslog.service
systemctl restart sshd.service #重启后在接收方可以看到日志
##在日志接收方(服务端)
vim /etc/rsyslog.conf