思维导图
先来看看日志存放的路径
格式: 设备+日志级别+存放路径
rsyslog
配置文件
vim /etc/rsyslog.conf
配置文件解释
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg :omusrmsg:*
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
这段是配置什么日志文件该放在哪里的
列如:cron.*
cron 为设备 这个* 就是日志的级别 * 代表任何级别(不管是什么事都记录日志)
# Everybody gets emergency messages
*.emerg :omusrmsg:*
这个就代表所以程序的 emerg级别日志(最高级别-严重)
都独立存储到一个地方
下面这个是安全类的日志
# The authpriv file has restricted access.
authpriv.* /var/log/secure
所有安全类的日志都存在 /var/log/secure 里 (如:SSH....)
混合规则
*.info;mail.none;authpriv.none;cron.none /var/log/messages
用分号隔开(并列关系)
*.info 不管什么设备-只要产生信息都放 /var/log/messages
mail.none 这个是排除的意思 (邮件的内容不放在这里)
日志级别
Rsyslog的日志级别:(从上到下级别越来越高)
7 debug 调试信息的日志,日志信息最多
6 info 一般信息的日志,最常用
5 notice 最具有重要性的普通条件的信息
4 warning 警告级别
3 error 错误级别,阻止某个功能或者模块不能正常工作的信息
2 crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
1 alert 需要立刻修改的信息
0 emerg 内核崩溃等严重信息
none 不记录任何信息
日志类型
Rsyslog的日志类型
auth pam产生的日志
authpriv ssh,ftp等登录信息的验证信息
cron 计划任务相关
kerl 内核
lpr 打印
mail 邮件
mark(syslog) Rsyslog服务内部信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy;Unix主机之间相关的通信
local 1-7 自定义的日志设备
其他几个日志
last -num 记录登录系统成功的记录
lastb -num 记录登录系统失败的记录
/var/log/dmesg 系统引导过程中的日志信息;