目录
配置文件
/etc/rsyslog.conf
组成:MODULES(模块)、GLOBAL DRICTIVES(全局配置)、RULES(日志生成规则)
om:输出
im:输入
MODULES(模块)
格式:$ModLoad 模块名
#### MODULES ####
$ModLoad imjournal # provides access to the systemd journal
#$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark # provides --MARK-- message capability
# Provides UDP syslog reception
$ModLoad imudp ####作为日志服务器,监听UDP,514端口
$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
RULES(日志生成规则)
格式:facilty.priority target
1、facility:设施,从功能或程序上对日志收集进行分类
auth | 认证 |
authpriv | 认证授权 |
cron | 计划 |
daemon | 守护进程 |
kern | 内核 |
lpr | 打印信息 |
邮件 | |
mark | 标记 |
news | 新闻 |
security | 安全 |
user | 用户 |
uucp | cp协议 |
local0-local7 | 自定义 |
syslog | 系统日志 |
2、 priority:优先级,日志级别(*代表所有级别,none代表没有级别,=代表就此级别,默认此级别以上)
debug | 调试、所有(默认关闭) |
info | 消息 |
notice | 注意 |
warn | 警告 |
err | 错误 |
crit | 蓝色警报 |
alert | 黄色警报 |
emerg( | 红色警报 |
注意:一般使用notice以上级别
3、target:输出位置
文件 | 通常应该位于/var/log目录下;文件路径之前的"-"表示异步写入 | /var/log/messages |
用户 | 将信息发送给登录到系统上的用户的终端 | :omusrmsg:* |
日志服务器 | 把日志送往指定的服务器主机 | :ommysql:主机地址,数据库,用户名,密码 |
管道 | 重定向日志到命令 | | COMMAND |
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.info :ommysql:192.168.60.3,syslog,loguser,logpasswd
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg :omusrmsg:*
本地日志
/var/log/wtmp:当前系统成功登录系统的日志;
需要使用last命令查看
/var/log/btmp:当前系统尝试登录系统失败相关的日志;
需要使用lastb命令查看
lastlog:显示当前系统上的所有用户最近一次登录系统的时间;
/var/log/dmesg:系统引导过程中的日志信息;
也可以使用dmesg命令进行查看;
rsyslog服务器
1、服务器端打开监听服务
vim /etc/rsyslog.conf
# Provides UDP syslog reception
$ModLoad imudp ####接收UDP
$UDPServerRun 514 ####监听514端口
# Provides TCP syslog reception
$ModLoad imtcp ####接收TCP
$InputTCPServerRun 514 ####监听514端口
[root@3 ~]# systemctl restart rsyslog
2、客户端配置
vim /etc/rsyslog.conf
#### RULES ####
*.info;mail.none;authpriv.none;cron.none @192.168.60.3
[root@3 ~]# systemctl restart rsyslog
mysql
[root@3 ~]# yum install mariadb
[root@3 ~]# yum install rsyslog-mysql
[root@3 ~]# systemctl start mariadb
[root@3 ~]# mysql -uUSER -hHOST -pPASSWORD < /usr/share/doc/rsyslog-mysql-VERSION/createDB.sql 运行aql脚本,增加表
[root@3 ~]# mysql 增加用户名和密码
MariaDB [(none)] > use Syslog;
MariaDB [(Syslog)] > GRANT ALL ON Syslog.* TO 'loguser'@'192.168.60.%' IDENTIFIED BY 'logpasswd';
MariaDB [(Syslog)] > FLUSH PRIVILEGES;
1、配置服务器端
vim /etc/rsyslog.conf
#### MODULES ####
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
$ModLoad ommysql ####加载mysql模块
#### RULES ####
*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.60.3,Syslog,loguser,logpasswd
[root@3 ~]# systemctl restart rsyslog
2、配置客户端
vim /etc/rsyslog.conf
#### RULES ####
*.info;mail.none;authpriv.none;cron.none @192.168.60.3
[root@3 ~]# systemctl restart rsyslog