Linux第十一章——文件系统与日志分析—日志分析

日志：要会看日志中的内容，哪些是正常的信息，哪些是报错信息，就是根据报错的信息能够定位出服务，系统的故障原因，或者定位出是谁的故障。

日志的功能：用于记录系统，程序运行中发生的各种事件。通过阅读日志，有助于定位故障。

日志的生成：1、系统自定义，系统创建完成后会专门生成一个用于记录系统运行的日志文件

2、主要针对第三方服务，不是系统自带的，由程序员自定义的软件或者第三方开发的一些软件运行在系统上，一些日志是第三方服务自带的，不需要人工配置，服务本身没有记录日志的功能，需要人工配置日志文件。

系统日志位置：/var/log/messages   这个日志文件包含了所有系统以及服务，包括第三方（必须要配置在systemd）的文件里面，有他的运行配置文件。yum安装或rpm安装会自动添加到systemd当中，不需要手工配置。

messages里包含的第三方服务，只有运行日志没有具体的第三方服务的业务日志

第三方服务有自己的业务日志，但是不保存自己的运行日志。

系统日志：系统自带的，messages，httpd作为第三方服务

为什么能在系统日志当中，核心在他配置在系统服务的目录当中，可以由系统进行操作，开关，重启，控制运行的记录可以记录在系统日志当中。

访问日志，报错日志都在自己的业务日志当中。

日志的基本格式：access-log  messsage

时间戳：发生时间，必带的记录，进行了哪些操作，执行了什么任务，返回了什么结果，还有具体的业务

信息：这是必带的信息，核心，发生时间，操作记录

*.info；mail.none；authpriv.none；cron.none

*：表示所有  info：日志级别  none：日志级别，不记录

这段代码表示只记录info的所有日志    mail  authpriv  cron都不记录

*.info所有info级别以上包含info级别的日志都记录在/var/logmessages当中

Jun 28  09:33:01  www  systemd  :  Reloading  The  Apache  HTTP   Sever

时间戳                      主机名   服务名           服务干了什么

local：表示自定义服务的日志，范围0-7，对应的服务必须配置对应的local等级

改配置文件之前一定要备份，改完之后一定要重启服务，否则配置的内容不会生效。

在日常工作中，1、对于日志，业务型日志，一般来说保留两到三天，就保留当天和前一天

2、日志和保存类型不同，期限不同，用户信息永久保存，不能删除而且要定期备份

3、其他类型：交易记录，一般半年，但是会有备份，想查也能查得到，但是不再第一页面展示

4、权限控制：一般核心业务的日志只有少数权限人员可以查到

实验一：服务日志单独存放，以ssh服务为例

关闭防火墙以及安全机制

 修改配置文件，找到 local7 在下面添加

 

 表示把local这个自定义服务的日志保存到ssh.log这个文件夹里面

 修改sshd_config配置文件

32dd 把32行给注释掉 把33行删除改成SyslogFacility LOCAL6

 

 重启服务rsyslog.service和服务sshd

在另外一台虚拟机test2用ssh的方式远程登陆test1

 再到teat1中查看/Var/log 中有没有ssh.log

查看ssh.log可以查看刚才的登录记录

还能动态查看

回到test2退出登录

 会到test1动态查看可以看到断开连接的记录

实验二：配置日志服务器，来收集客户机的日志，使得客户机的日志不发给他自己，而是发给主服务器

关闭防火墙以及安全机制

删除19，20行的注释，

 把54行注释了再复制到55行 并且在后面加上@@192.168.88.10  表示强制使用这个网端

看端口有没有起来

 重启一下

在test1中

删除19，20行的注释，就是把端口打开

重启

看端口有没有起来

动态查看