rsyslog系统日志管理
什么是日志:日志就是记录你的进程干了什么,比如yum安装或卸载,用xshell远程连接,等等这些都会被记录在日志中
处理日志的进程:
第一类
- rsyslogd:系统专职日志程序
- 处理大部分日志记录
- 系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息
第二类
- httpd/nginx/mysql:各类应用程序,可以以自己的方式记录日志.
rsyslog:是CentOS 6以后的系统使用的日志系统,它与之前的syslog日志系统相比具有诸多优点:
- 支持多线程
- 支持TCP,SSL,等协议
- 强大的过滤器,可实现过滤日志信息中的任意部分
- 支持自定义输出格式
- 模块化
- 适用于企业级别日志记录的需求
常见日志文件(系统,进程,应用程序)
[root@w66 ~]# ls /var/log
上图中部分日志文件:
- messages:系统主日志文件,大部分都在这里
- secure:查看安全
- yum:yum安装或卸载
- cron:crond和at进程产生的日志
- lastlog:所有用户的登录情况
- btmp:最近登陆的用户
- wtmp:当前登录的用户
rsyslogd配置
[root@w66 ~]# rpm -qc rsyslog //观察日志程序的配置文件
进入主配置文件查看
[root@w66 ~]# vim /etc/rsyslog.conf
主要分为三部分:RULES,FACILITY,LEVEL
RULES:规则,定义了记录日志的设施以及等级等信息
- authpriv:安全认证
- cron:计划日志
- emerg:警告,紧急事件
- 将uucp和news设备的crit级别的信息记录到/var/log/spooler文件中
- local1-local7是自定义
- mail:邮箱
FACILITY:设备,从功能或程序上对日志进行分类,并由专门的工具负责记录日志
- LOG_SYSLOG:syslog自身产生的日志
- LOG_AUTHPRIV:安全认证相关的
- LOG_CRON:计划任务的相关日志
- LOG_MAIL:邮件相关的日志
- LOG_DAEMON后台进程
- LOG_USER:用户相关的日志
- LOG_AUTHPRI:授权相关的日志
LEVEL:级别,从上到下
- LOG_EMERG:紧急,知名,如服务器无法运行
- LOG_ALERT:报警,需要立即处理
- LOG_CRIT:致命行为
- LOG_ERR:错误行为
- LOG_WARRING:警告信息
- LOG_NOTICE:普通,重要的标准信息
- LOG_INFO:标准信息
- LOG_DEBUG:调试信息,排错所需,一般不建议使用