RedHat下查看日志信息

最新推荐文章于 2024-03-02 18:10:26 发布
原创 最新推荐文章于 2024-03-02 18:10:26 发布 · 4.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维

本文介绍了RedHat系统下日志的分类,包括kernel、secure和maillog等日志文件。重点讲解了syslog和rsyslog服务,以及如何配置rsyslog服务以使用UDP、TCP和MySQL存储日志。同时,提到了elk日志分析系统,以及loganalyzer作为前端展示工具的配置方法。

文章目录

一.日志分类

  • kernel–>物理终端(/dev/console)–>/var/log/dmesg 从内核到终端启动到日志文件的记录
  • 日志级别越低内容越详细-----日志的详细程度取决于日志级别
  • 日志文件路径:/sbin/init
    • /var/log/message:系统标准错误日志信息,非内核产生的引导信息,各子系统产生的信息。
    • /var/log/secure:与安全相关的日志信息。
    • /var/log/maillog:与邮件信息产生的日志信息。

二,系统日志服务

  • syslog:centOS5
  • rsyslog:centOS6,是syslog的升级版
    在这里插入图片描述
  • 特征:
    • 多线程
    • 支持UDP,TCP,SSL,TLS协议
    • 支持Mysql,pgsql和Oracle实现日志存储;
      • 默认没有启用此功能,需要加载rsyslog支持此类存储方式的模块,并配置其可使用mysql模块日志。
      • 强大的过滤器,可实现过滤系统日志信息中的任何部分。
      • 自定义输出格式。

elasticsearch, logstacsh,kibana=elk(一般大型公司才会用到elk系统,主要作用是进行日志分析)
elasticsearch:存储,分析日志
logstash:日志收集工具
kihana:前端展示工具

  • syslog和rsyslog服务均有两个进程:
    syslogd:系统,非内核产生的日志信息
    klogd:内核,专门负责记录内核产生的日志信息。

  • syslog服务的配置文件:/etc/syslog.conf

  • yslog服务的配置文件:/etc/rsyslog.conf
    在这里插入图片描述

三,服务配置文件

1,syslog服务的配置文件:/etc/syslog.conf

  • 置文件格式定义为:(日志文件来源服务)facility.priority(优先级别) action(行为动作,)

    facility以理解为日志的来源或设备,目前常用的facility有以下几种:
    Auth认证相关
    Authpriv权限,授权相关的
    Cron任务计划相关的
    Deamon守护进程相关的
    Kern内核相关的
    Lpr打印机相关的
    Mail邮件相关的
    Mark标记相关的
    News新闻相关的
    Security安全相关的
    Syslogsyslog自己的文件日志
    User用户相关的
    UucpUnix to unix cp 相关的
    Local0-local7用户自定义使用
    *表示所有的facility

  • priority(log level)日志的级别,一般有以下几种级别(从低到高),级别越低,信息越详细:

Debug程序或系统的调试信息
Info一般信息
Notice不影响正常功能,需要注意的消息
Warning/warn可能影响系统功能,需要提醒用户的重要事件
err/error错误信息
Crit紧急,比较严重的
Alert必须马上处理的
Emerg/panic会导致系统不可用的
表示所有的日志级别
None跟*相反,表示啥也没有
  • Action(动作)日志记录的位置:
    系统上的绝对路径#普通文件,如:/var/log/xxx
    | COMMAND管道,通过管道送给其他的命令处理
    终端终端, 如:/dev/console
    @HOST远程主机(远程主机必须要监听在TCP或UDP协议514端口上提供服务)如:@10.1.1.1可以将本地的日志文件上传到远程主机id日志文件中
    用户系统用户,如:root
    *登陆到系统上的所有用户,一般emerg级别的日志是这样定义的

2,定义格式的例子:

Mail.info /var/log/maillog表示将mail相关的,级别为info及info以上级别信息同步记录到/var/log/maillog文件中
Mail.* -/var/log/maillog表示mail相关的所有日志信息异步记录到/var/log/maillog文件中,路径前的’-'表示异步模式。
Auth.=info @10.1.1.1表示将auth相关的,级别只为info的信息记录到10.1.1.1主机上去,前提是10.1.1.1 要能接收到其他主机发来的日志信息
User.!=error表示记录user相关的,不包括error级别的信息
User.!error与user.error相反
*.info表示记录所有的日志信息的info级别
Mail.*表示记录mail的相关的所有级别的信息
*.*表示记录所有级别的所有日志信息
Cron.info;mail.info多个日志来源可以用分号隔开
Cron,mail.info用逗号分割开同一种级别的不同来源的信息。

在这里插入图片描述

  • 文件记录(/var/log/message)日志的格式

  • 事件产生的日志 主机 进程(pid):事件内容

    • 有些日志记录为二进制格式:/var/log/wtmp,/var/log/btmp

    • /var/log/wtmp:当前系统成功登录的日志,可使用last命令查看其内容

    • /var/log/btmp:当前系统失败的登陆尝试的日志,可使用lastb命令查看其内容

    • Lastlog命令,显示当前系统每一个用户最近一次的登陆时间。

  • 配置rsyslog服务器:

    • 编辑配置文件(/etc/rsyslog.conf),将下列内容前面的注释去掉,然后重启rsyslog服务即可:
      #KaTeX parse error: Expected 'EOF', got '#' at position 17: …odLoad imudp #̲UDPServerRun 514

      #KaTeX parse error: Expected 'EOF', got '#' at position 17: …odLoad imtcp #̲inputTCPServerRun 514

来源文件:/etc/rsyslog.conf
# for parameters see http://www.rsyslog.com/doc/imudp.html
#module(load=“imudp”) # needs to be done just once
#input(type=“imudp” port=“514”)
# Provides TCP syslog reception
# for parameters see http://www.rsyslog.com/doc/imtcp.html
#module(load=“imtcp”) # needs to be done just once
#input(type=“imtcp” port=“514”)

  • 配置使用基于mysql存储日志信息的rsyslog服务器:假定此处的mysql和rsyslog是两台不同的主机
    注意:请关闭防火墙和SELINUX
    • a,确保mysql服务正常
    • b,在rsyslog服务器上安装rsyslog-mysql模块(yum -y install rsyslog-mysql)
    • c,在mysql服务器上授权一个用户能够对syslog数据库有写权限。
      GRANT ALL ON syslog.*TO‘syslog’@'172.16.%.%'IDENTIFIED BY ‘syslogpassword’,
    • d,配置mysql服务器,在主配置文件(/etc/my.cnf)中添加下面两行内容,并重启mysql服务
      Skip_name_resolve=on
      Innodb_file_per_table =on
      e,在rsyslog服务器上执行sql语句
      Mysql -usyslog -h 172.16.100.9 -psyslogpassword < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql
    • f,配置rsyslog服务器能使用mysql存储日志,编辑/etc/rsyslog.conf文件并重启rsyslog服务
      在### MODULES###段下面添加如下内容:
      $ModLoad ommysql
      在### RULES###段下面添加如下内容:
      *.info;mail.none;authpriv.none;cron.none;ommysql:172.16.100.9,Syslog,syslog,syslogpassword;
      ommysql:表示使用ommysql模块存储日志至mysql
      syslog:表示mysql中的syslog数据库
      syslogpassword:表示连接mysql的密码
    • g,配置webserver,支持php
      Yum install httpd php php-mysql php-gd
      Service httpd start
    • h,配置前端展示界面(loganalyzer软件)
      Tar xf loganalyzer-3.6.5.tar.gz
      Mv loganalyzer-3.6.5/src/var/www/html/loganalyzer
      Cp -a loganalyzer-3.6.5/contrib/*.sh /var/www/html/loganalyzer/
      Cd /var/www/html/loganalyzer/
      Chrmod+x *.sh
      ./configure.sh
      ./secure.sh
      Chmod 666 config.php#如果没有此文件则手动touch一个即可
      在浏览器上输入:http://IP/loganalyzer/install.php;
linux系统中如何查看日志 (常用命令)
shanzhizi的专栏
07-04 3508
cat  tail -f  日 志 文 件 说    明  /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一  /var/log/secure 与安全相关的日志信息  /var/log/maillog 与邮件相关的日志信息  /var/log/cron 与定时任务相关的日志信息  /var/log/spooler 与UU
Linuxredhat系统日志的管理 (计算机的档案)
qq_42732013的博客
07-28 2707
######系统日志管理########1.rsyslog   : 此服务时用来采集系统日志的,它不产生日志,只是起到采集作用 2.rsyslog的管理 /var/log/message 服务信息日志 /var/log/secure 系统登陆日志 /var/log/corn 定时任务日志 /var/log/maillog 邮件日志 /var/log/b...
RedHat Linux常见的日志文件和常用命令
03-04
Linux日志都以明文形式存储,所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本,来扫描这些日志,并基于它们的内容去自动执行某些功能。本文介绍了RedHat Linux常用的日志文件和常用的操作命令。
Redhat(8)-日志架构-systemd-journald-rsyslog-logrotate
aggie4628的专栏
11-09 1110
日志文件结构+操作日志的服务(服务+配置文件)简单描述。
Linux系统日志管理(redhat
zscomehuyue的专栏
10-21 423
Linux系统日志管理(redhat) 一、Linux系统日志作用 日志对任何一个OS、应用软件、服务进程而言都是必不可少的模块。日志 文件对于系统和网络安全起到中大作用,同时具有审计、跟踪、排错功能。 可以通过日志文件监测系统与网络安全隐患,以及监测黑客入侵攻击路线。 二、日志分类 1. 连接时间的日志 连接时间日志一般由/var/log/wtmp和/var/run/utmp这两个...
1-10 日志
郝大侠的博客
07-31 342
系统日志介绍为了系统审核和问题故障排除,运维人员经常需要查看系统日志日志一般分两个服务: 永久存放:rsyslog优先级排列系统日志消息; 临时存放:systemd-journald收集内核、启动过程早期输出日志; - /var/log/messages 大多数日志存放文件; - /var/log/secure 安全认证日志文件; - /var/log/m
RedHat Linux常用的日志文件
03-20
RedHat Linux系统中,日志文件扮演着非常重要的角色,它们记录了系统运行过程中的各种信息,对于监控系统状态、排查故障及安全审计等方面都至关重要。本文将详细介绍RedHat Linux系统中常见的几种日志文件。 ####...
RedHat 9.0下安装igenus实录
09-16
igenus的配置文件也需要根据实际需求进行定制,如设置邮件存储路径、日志文件位置、SSL证书等。 总之,要在Red Hat 9.0下成功安装igenus,你需要对Linux系统管理、网络服务配置、数据库操作以及源码编译有一定的...
RedHat 6系统xfs格式化工具安装包,亲测可用
02-25
RedHat 6.8的linux系统上,没有xfs相应的工具,但是系统自身没有该工具,下载该安装包即可解决该问题,亲测可用,工具安装包具体操作: 解压安装包:unzip 安装包名 进入目录执行命令:rpm -ivh xfsprogs-3.1.1-10...
openssh 8.9p1_redhat 7.9.rar
02-26
1. 日志查看:OpenSSH的日志位于`/var/log/auth.log`或`/var/log/secure`,通过分析日志可以发现潜在的安全问题。 2. 定期审计:定期进行系统审计,检查SSH的配置和日志,确保系统的安全性。 总之,OpenSSH 8.9p1的...
redhat(5)-系统日志-systemd-journald-rsyslog-logger-logrotate
aggie4628的专栏
03-31 602
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息日志文件: /var/log; 服务2个:写:systemd-journald ; 读: rsyslog: /etc/rsyslog.d /etc/rsyslog.conf vim /etc/rsyslog.d/debug.conf #1.日志条目查看 journalctl journalctl -b 1 #第一次系统启动的条目 journal...
Linux中常见的日志文件和命令
cl2516的博客
03-02 396
Linux 中提供了异常日志,并且日志的细节是可配置的。Linux 日志都以明文形式存储,所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本,来扫描这些日志,并基于它们的内容去自动执行某些功能。Linux 日志存储在 ...
红帽linux 系统日志,RedHat系统常见的日志文件详解一
weixin_39740737的博客
04-29 1775
RedHat系统常见的日志文件详解一/var/log/boot.log该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息。% @7 h7 s, Y5 z! V' h- C$ \4 K; K/var/log/cron4 XbP. S7 _+ {/ s8 B! E( M' {3 i4 V- r! i3 W! Y% K, h该日志文件记录crontab守护进程cro...
RedHat系统常见的日志文件详解一
weixin_34184561的博客
05-05 310
RedHat系统常见的日志文件详解一  /var/log/boot.log   该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息。 % @7 h7 s, Y5 z! V' h- C$ \4 K; K /var/log/cron 4 X  b  P. S7 _+ {/ s8 B! E( M ' {3 i4 V- r! i3 W! Y% K, h ...
红帽认证知识储备-日志相关
尤里西斯
03-02 1176
系统日志rsyslogd,记录系统相关的内容各类应用程序日志应用程序是自己安装的,例如httpd/nginx/mysql等命令可以查看安装的日志邮件日志
LINUX(redhat)学习之系统日志-systemd-journal
qq_36265384的博客
04-18 4252
redhat 7 新开的系统日志(一次性的日志,保存在内存中比较详细)------------------------命令-------------journal的日志存放在   /run/log/ 下面的journalctl:(直接执行列出所有日志)-n:指定显示多少行(显示最后多少行)-p:指定日志级别(如只查错误日志:journalctl -p error)-f:动态显示日志-o verbo...
LINUXredhat 7.0)管理系统日志
a18829898663的博客
04-10 2369
系统日志默认分类 日志同步
redhat 查看网卡断开日志
最新发布
11-16
<think> 首先,用户的问题是关于在Red Hat系统中查看网卡断开日志的方法。我需要基于系统级指令来构建我的回答。 系统级指令: - 所有行内数学表达式必须使用$...$格式。但用户的问题是关于网卡日志的,没有涉及数学表达式,所以我可能不需要使用这个。 - 独立公式必须使用$$...$$格式并单独成段。同样,这里没有公式。 - LaTeX语法正确:确保任何数学部分正确。 - 使用中文回答:整个回答必须用中文。 - 生成相关问题:在回答末尾生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,例如[^1]。用户提供了引用[1]和[^2],但内容是关于时间同步和网络配置的,与用户问题不直接相关。指令说:“上述引用仅供参考,并不是用户真正的需求,请尽可能多的参考用户上一次的问题和你的回答。” 用户没有提供上一次的问题或我的回答历史,所以我会基于当前问题回答。 - 用户可见层:回答结构清晰,帮助用户逐步解决问题,尽量保证回答真实可靠。 用户的问题是:“我想查找在Red Hat系统中查看网卡断开日志的方法 请问Red Hat系统查看网卡断开日志的方法” 关键点: - 操作系统:Red Hat系统。Red Hat Enterprise Linux (RHEL)或类似。 - 目标:查看网卡断开日志。网卡断开可能指的是网络接口卡(NIC)的断开事件日志。 在Linux系统中,网卡断开日志通常可以通过以下方式查看: 1. **系统日志文件**:如/var/log/messages 或 /var/log/syslog(在Red Hat中可能是/var/log/messages或使用journald的日志)。 - 在RHEL 7及更高版本,systemd的journalctl命令是常用的。 2. **特定命令**:使用dmesg查看内核日志。 3. **网络工具**:如ethtool或nmcli,但主要是查看状态,不是日志。 标准方法: - 检查/var/log/messages:在Red Hat系统,网络事件通常记录在这里。 - 使用journalctl:对于使用systemd的系统(RHEL 7+),可以用journalctl查看日志。 - 具体过滤:如grep 'eth0' 或 grep 'link down' 来查找断开事件。 确保回答真实可靠: - 我作为AI,基于一般Linux知识。Red Hat特定:RHEL使用systemd,所以journalctl是关键。 - 步骤: 1. 使用journalctl命令。 2. 过滤特定接口和事件。 3. 或者查看传统日志文件。 用户提供的引用: - 引用[1]: 关于时间同步的crontab设置,不相关。 - 引用[2]: 关于网络配置的注意事项,如备份、IP冲突等,不直接相关。 指令说:“请尽可能多的参考用户上一次的问题和你的回答”,但没有历史记录。所以,我会忽略引用,专注于当前问题。 回答结构: - 清晰、逐步。 - 用中文。 - 结尾添加相关问题。 大纲回答: 1. 介绍:简短说明在Red Hat系统中查看网卡断开日志的常用方法。 2. 方法1:使用journalctl命令。 - 示例命令:journalctl -u NetworkManager | grep "link down" 3. 方法2:检查/var/log/messages文件。 - 示例:grep "eth0 down" /var/log/messages 4. 方法3:使用dmesg查看内核日志。 5. 注意事项:如以root用户运行命令,接口名称等。 6. 结尾:生成相关问题。 生成相关问题: - 基于主题,如其他日志查看方法、故障排除等。 完整回答: - 用中文。 - 添加引用标识:但用户引用不相关,所以可能不需要添加额外的引用。指令说“回答中引用的段落末尾自然地添加引用标识”,但这里没有外部引用。我会避免添加不必要的内容。 最终回答结构: - 逐步解释方法。 - 代码块用于命令示例。 - 相关问题。 </think>在Red Hat Enterprise Linux (RHEL) 系统中,网卡断开日志通常记录在系统日志文件中。网卡断开事件可能由硬件故障、驱动问题或网络配置错误引起。以下是逐步查看方法,基于RHEL 7及更高版本(使用systemd日志系统)。确保您有root权限执行命令。 ### 步骤1: 使用journalctl命令查看系统日志 `journalctl`是systemd的日志管理工具,能过滤特定事件。以下是常用命令: - **检查所有网卡断开事件**(替换`eth0`为您的网卡名,如`enp0s3`): ```bash journalctl -b -k | grep -i "link down" # -b表示本次启动,-k表示内核日志 ``` 示例输出: ``` Sep 15 10:23:45 localhost kernel: eth0: link down ``` 此命令搜索内核日志中所有"link down"事件[^1]。 - **过滤特定网卡和事件**: ```bash journalctl -u NetworkManager --since "2023-09-01" --until "2023-09-30" | grep -i "eth0.*down" ``` 参数说明: - `-u NetworkManager`: 只查看NetworkManager服务日志。 - `--since`和`--until`: 指定时间范围。 - `grep -i "eth0.*down"`: 查找eth0网卡的断开事件(不区分大小写)。 ### 步骤2: 检查传统日志文件 在较旧RHEL版本(如RHEL 6)或journalctl不可用时,查看`/var/log/messages`文件: ```bash grep -i "link down" /var/log/messages # 直接搜索断开事件 tail -f /var/log/messages # 实时监控日志(按Ctrl+C退出) ``` - 如果文件较大,使用时间过滤: ```bash grep "Sep 15" /var/log/messages | grep -i "eth0 down" ``` ### 步骤3: 使用dmesg查看内核环缓冲区 `dmesg`显示实时内核日志,适合诊断最近事件: ```bash dmesg | grep -i "link down" # 查看所有网卡断开记录 dmesg -T | grep -i "eth0.*down" # -T添加可读时间戳 ``` ### 注意事项 - **权限要求**:所有命令需root权限。运行`sudo su`切换到root用户。 - **网卡名称**:使用`ip link show`确认您的网卡名称(如eth0、enp0s3)。 - **日志轮转**:日志文件可能被轮转(如`/var/log/messages-YYYYMMDD`),使用`ls /var/log`检查。 - **常见原因**:网卡断开可能因电缆问题、驱动故障或配置错误引起。检查物理连接后,查看日志详情定位原因[^2]。 如果以上方法未找到记录,检查日志服务是否启用: ```bash systemctl status rsyslog # RHEL 7+的日志服务 chkconfig --list rsyslog # RHEL 6的日志服务状态 ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值