系统日志
1.日志采集规则:
修改日志采集规则编辑配置文件:vim /etc/rstslog.conf
内容如下:
systemctl stop rsyslog.service 关闭日志采集服务,日志依然会采集
systemctl restart rsyslog.service 开启日志采集服务
*.* 文件名称
表示:日志类型.日志级别 日志存放文件
日志类型:
auth 用户登陆日至(pam产生日志)
authpriv 服务认证日志(sshd日志)
kern 内和日志
cron 定时任务日志
mail 邮件日志
news 新闻日志
user 用户相关程序日志
local 1-7 用户自定义日志(1-7个级别)
日志级别:
debug 系统调试信息
info 常规信息
warning 警告信息
err 报错(级别底,阻止了某个功能不能正常工作)
crit 报错(级别高,阻止了某个软件或整个系统不能正常工作)
alert 需要立即修改的信息
emerg 内核崩溃
none 不采集任何日志信息
注意:从上到下,级别从低到高,记录的信息越来越少,详细的可以查看手册: man 3 syslog。
例如:
auth.debug /var/log/westos 用户登陆的系统调式日志采集到/var/log/westos
auth.* /var/log/hello 用户登陆的所有日志采集到/var/log/hello
*.* /var/log/all 所有类型的所有级别日志采集到/var/log/all
系统常用日志:
*.info;mail.none;authpriv.none;cron.none /var/log/messages 所有日志级别的常规信息(不包含邮件日志,服务认证服务,定时任务)
mail.* /var/log/maillog 邮件日志
authpriv.* /var/log/secure 服务认证日志
cron.* /var/log/cron 定时任务日志
2.日志的远程同步
为什么同步日志:运维人员管理很多台主机,每个查看有难度,所以把日志同到一台主机上查看。
可以通过三种方式发送:UPD(速度快,不需要握手),TCP(需要握手),RELP。
日志同步:
在日志发送方:
编辑配置文件:vim /etc/rsyslog.conf
修改内容:
*.* @172.25.254.114 日志接收方的地址
在日志接收方:
编辑配置文件:vim /etc/rsyslog.conf
修改内容:
14 # Provides UDP syslog reception 提供UPD的接收通道
15 $ModLoad imudp 接收插件
16 $UDPServerRun 514 接收的接口
systemctl restart rsyslog 重启服务
systemctl stop firewalld 关闭防火墙
systemctl disable firewalld 设置开机关闭防火墙
cat /var/log/messages 查看日志
3.自定义日志采集格式:
在日志接收方编辑配置文件:vim /etc/rsyslog.conf
修改内容:
$template 格式名称,“日志采集格式”
$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated%
日志来源主机ip
%FROMHOST-IP% 日志来源主机ip
%stslogtag% 日志生成程序
%msg% 日志内容
\n 换行
*.info;mail.none;authpriv.none;cron.none /var/log/messages;westos 日志采集格式为westos
cat /var/log/messages 查看日志
例如:$template westos,"%FROMHOST-IP% %timegenerated% %syslogtag% %msg%\n"
格式为:日志来源主机ip,日志来源主机ip,日志生成程序,日志内容,换行
4.系统日志查看工具
journalctl 参数
-n 3 最新3 行的日志
-p err 查看报错日志
-f 监控日志,ctrl+c结束监控
--since --until 查看从什么时间到什么时间的日志
-o verbose 查看日志详细参数 _pid=651 journalctl _pid=65
例如:journalctl -n 3 显示最近三行的日志