日志文件
日志文件是记录系统运行状态、事件和活动的文件。在Linux系统中,各种应用程序和系统组件都会生成各种类型的日志文件,用于跟踪系统的运行情况、故障排查、性能分析等目的。有助于提高系统的稳定性、安全性和性能,以及快速解决问题和改进系统运行效率。
日志等级
| 级别 | 日志等级 | 含义 |
|---|---|---|
| 0 | EMERG(紧急) | 会导致主机系统不可用的情况 |
| 1 | ALERT(警告) | 必须马上采取措施解决的问题 |
| 2 | CRIT(严重) | 比较严重的情况 |
| 3 | ERROR(错误) | 运行出现错误 |
| 4 | WARNING(提醒) | 警告信息,表示可能出现问题,但不会影响系统正常运行 |
| 5 | NOTICE(注意) | 不会影响正常功能,但是需要注意的事件 |
| 6 | INFO(信息) | 提示性信息 |
| 7 | DEBUG(调试) | 程序或系统调试信息等 |
常见的日志文件
- 系统日志:记录操作系统的运行状态和事件,通常存储在/var/log目录下,例如/var/log/messages、/var/log/syslog等。
- 安全日志:记录用户登录、权限变更等安全相关的事件,通常存储在/var/log/secure或/var/log/auth.log等文件中。
- 应用程序日志:各种应用程序会生成自己的日志文件,用于记录应用程序的运行状态、错误信息等。这些日志文件可以存储在不同的位置,具体取决于应用程序的配置。
- Web服务器日志:Web服务器如Apache、Nginx等会生成访问日志和错误日志,用于记录网站的访问情况和请求错误信息。
- 数据库日志:数据库系统如MySQL、PostgreSQL等会生成查询日志、错误日志等,用于记录数据库的操作和错误信息。
- 系统性能日志:用于记录系统的性能指标,如CPU、内存、磁盘等的使用情况。
/var/log/ 目录下的文件和文件夹:
| 文件夹名 | 作用 |
|---|---|
| messages | 记录系统的重要事件和错误信息,内核信息、系统启动信息等 |
| secure | 记录系统的安全相关信息,用户登录和认证信息,如ssh登录等 |
| auth.log | 记录系统的安全相关信息,用户登录和认证信息(Debian/Ubuntu) |
| syslog | 记录系统的所有日志信息,包括messages、secure和其他日志 |
| dmesg | 记录系统的内核启动信息和硬件信息,用于排查系统启动问题 |
| boot.log | 记录系统启动时的详细信息,包括各个服务的启动情况 |
| cron | 记录系统定时任务的执行情况,如cron和anacron的任务日志 |
| maillog | 记录邮件服务器的日志信息,包括邮件的发送和接收情况 |
| httpd/ | 记录Apache Web服务器的访问日志和错误日志 |
| nginx/ | 记录Nginx Web服务器的访问日志和错误日志 |
| mysql/ | 记录MySQL数据库服务器的日志信息 |
| postgresql/ | 记录PostgreSQL数据库服务器的日志信息 |
| audit/ | 记录系统的审计日志,包括对文件和目录的访问、用户操作等 |
| wtmp | 记录系统登录和注销的信息,包括登录时间、登录用户等 |
查;询用户的历史记录:
last:查询成功登录到系统的用户记录
[root@localhost log]#last
zhangsan :0 :0 Mon Sep 20 20:12 still logged in
root pts/0 192.168.91.1 Mon Sep 20 20:12 still logged in
root pts/0 192.168.91.1 Mon Sep 20 19:48 - 20:10 (00:22)
root pts/3 192.168.91.1 Mon Sep 20 13:09 still logged in
root pts/2 192.168.91.1 Tue Sep 14 17:42 - 15:09 (5+21:27)
lastb:查询登录失败的用户记录
[root@localhost log]#lastb
btmp begins Mon Sep 20 14:33:01 2021
Rsyslog 管理
Rsyslog(Remote System Logging)是一个强大的系统日志记录守护进程,它用于收集、处理和转发系统日志消息。它是Linux系统中的一种日志记录工具,负责管理系统和应用程序的日志,并将日志信息发送到指定的目标。
Rsyslog具有许多功能和配置选项,其中三个主要部分是:
-
MODULES:Rsyslog的模块部分定义了日志消息的输入、输出和处理方式。它允许你指定不同类型的输入模块(如文件、网络等),以及输出模块(如文件、远程服务器等)来处理和传递日志消息。
-
GLOBAL DIRECTIVES:全局指令部分包含了全局配置选项,影响Rsyslog的整体行为。这些选项包括设置默认日志级别、定义日志文件格式、设定日志文件路径等。
-
RULES:规则部分定义了日志消息的过滤、匹配和处理规则。你可以设置不同的规则来根据日志消息的内容、来源、优先级等条件进行筛选和处理,比如将某些特定日志消息保存到指定的日志文件,或者转发给其他远程服务器。
==配置文件路径:/etc/rsyslog.conf == ;通过编辑/etc/rsyslog.conf文件,你可以配置Rsyslog以满足你的日志记录需求,并确保系统日志能够被有效地收集、处理和存储。
在修改配置后,通常需要重新启动Rsyslog服务使更改生效。
rsyslog.conf 配置文件解析
将软件日志文件单独设置
#vim /etc/rsyslog.conf,添加local6 自定义配置规则。
#vim /etc/ssh/sshd_config,将默认规则注释,添加新的规则。
实时查看ssh.logs 文件
#systemctl restart sshd rsyslog.service (重启sshd和rsyslog服务),切换到二号机运城ssh登录一号机
日志自动更新
rsyslog 搭建日志服务器
两个机器必须先关闭防火墙和selinux;安装rsyslog ;编辑rsyslog.conf 日志配置文件
日志服务器中rsyslog.conf :
二号机中rsyslog.conf:
两个@ 代表 tcp 协议 ; 一个@ 代表 udp 协议。
重启服务;查看 日志服务器 和二号机 的 tcp514端口是否打开
#tail -f /var/log/messages 实时查看公共日志
用二号机写入日志;查看日志服务器是否收到二号机的日志
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
