1、系统日志
进程和操作系统内核需要能够为发生的事件记录日志,这些日志可用于系统审核和问题的故障排除,一般这些日志永久的存储/var/log目录中
系统文件记录信息
日志文件 | 用途 |
---|---|
/var/log/message | 大多数系统日志信息记录在这里 |
/var/log/secure | 安全和身份认证相关的消息和错误的日志文件 |
/var/log/maillog | 与邮件服务器相关的日志文件 |
/var/log/cron | 与定时任务相关的日志文件 |
/var/log/boot.log | 与系统启动有关的日志文件 |
2、系统日志的管理
rsyslog ##采集系统日志##
- (1)、rsyslog的管理
路径 | 日志类别 |
---|---|
/var/log/message | 服务信息日志 |
/var/log/secure | 系统登陆日志 |
/var/log/maillog | 邮件日志 |
/var/log/cron | 定时任务日志 |
/var/log/boot.log | 系统启动日志 |
- (2)、日志类型
标识 | 日志类型 |
---|---|
auth | pam产生的日志 |
authpriv | ssh、ftp等登录信息的验证信息日志 |
cron | 时间任务相关的日志 |
kern | 内核日志 |
邮件日志 | |
mark(syslog)-rsyslog | 服务内部的信息、时间标识日志 |
news | 新闻组日志 |
user | 用户程序产生的相关信息日志 |
uucp | unix to unix copy,unix主机之间通讯的日志 |
- (3)、日志级别
debug | 有调用信息的,日志信息最多 |
info | 一般信息的日志,最常用 |
notice | 最具有重要性的普通条件的信息 |
warning | 警告级别 |
err | 错误级别,阻止某个可能或者模块不能正常工作的信息 |
crit | 严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
alert | 需要立刻修改的信息 |
emerg | 内核崩溃等严重信息 |
none | 什么都不记录 |
注意:从上至下,级别从低到高,记录的信息越来越少
- (4)、把系统中所有的日志采集到指定的文件中
步骤一:执行vim /etc/rsyslog.conf命令
步骤二:然后写入将所有日志指定到/var/log/westos文件中
步骤三:重启rsyslog服务 systemctl restart rsyslog
步骤四: 执行systemctl restart sshd命令产生日志,查看cat /var/log/westos是否有日志产生
3、日志的远程同步
- 在日志发送方:
(1)、执行vim /etc/rsyslog.conf,然后将所有日志通过相应协议发送给远程主机
"@“表示UDP协议发送,”@@"表示TCP协议发送
(2)、重新启动rsyslog
systemctl restart rsyslog - 在日志接收方:
(1)、执行vim /etc/rsyslog.conf 打开日志接收模块和端口
(2)、重新启动rsyslog
systemctl restart rsyslog
(3)、关闭防火墙
systemctl stop firewalld
测试:
在发送方和接收方都清空日志文件
在日志发送方执行:logger test ##产生测试日志##
最后在发送方和接收方都查看日志是否都已生成
cat /var/log/messages