一·日志采集规则4.14
*.* 文件名称
日志类型.日志级别
auth 用户登陆日志(pam产生日志)
authpriv 服务认证日志(sshd认证)
kern 内核日志
cron 定时任务日志
lpr 打印机日志
mail 邮件日志
news 新闻
user 用户相关程序日志
local 1-7 用户自定义日志
日志级别
debug 系统调试信息
info 常规信息
warning 警告xinxi
err 报错(级别低,阻止某个功能不能正常工作)
crit 报错(级别高,阻止了整个软件或整系统不能正常工作)
alert 需要立即修改的信息
emerg 内核奔溃
none 不采集任何日志xinxi
例子:
vim /etc/rsyslog.conf
auth.debug /var/log/westos
将用户登陆的调试信息放在/var/log/westos 里
auth.*
*.* /var/log/log.all
^
resyslog
系统常用日志
/var/log/messages 所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog 邮件日志
/var/log/secure 服务认证日志
/var/log/cron 定时任务日志
二·日志远程同步
vim /etc/rsyslog.conf
*.* @172.25.254.119 日志接受方地址
vim /etc/rsyslog.conf
15 $ModLoad imudp
*.* 文件名称
日志类型.日志级别
auth 用户登陆日志(pam产生日志)
authpriv 服务认证日志(sshd认证)
kern 内核日志
cron 定时任务日志
lpr 打印机日志
mail 邮件日志
news 新闻
user 用户相关程序日志
local 1-7 用户自定义日志
日志级别
debug 系统调试信息
info 常规信息
warning 警告xinxi
err 报错(级别低,阻止某个功能不能正常工作)
crit 报错(级别高,阻止了整个软件或整系统不能正常工作)
alert 需要立即修改的信息
emerg 内核奔溃
none 不采集任何日志xinxi
例子:
vim /etc/rsyslog.conf
auth.debug /var/log/westos
将用户登陆的调试信息放在/var/log/westos 里
auth.*
*.* /var/log/log.all
^
(所有日志的所有级别)
resyslog
系统常用日志
/var/log/messages 所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog 邮件日志
/var/log/secure 服务认证日志
/var/log/cron 定时任务日志
二·日志远程同步
日志同步:自己生成一份日志后主动传送给别人
实验步骤:
在日志发送方:vim /etc/rsyslog.conf
*.* @172.25.254.119 日志接受方地址
systemctl restart rsyslog
vim /etc/rsyslog.conf
15 $ModLoad imudp
16 $UDPServerRun 514
s