系统日志
1.系统日志: 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。
2.常见日志类型
类型 | 说明 |
---|---|
auth | 用户认证时产生的日志 |
authpriv | 与auth类似,但是只能被特定用户查看 |
console | 系统控制台的消息 |
cron | 系统定期执行计划任务时产生的日志 |
daemon | 某些守护进程的日志 |
ftp | FTP服务 |
kern | 系统内核消息 |
邮件日志 | |
user | 用户进程 |
mark | 系统每隔一段时间向日志文件中输入当前时由此可以推断出系统发生故障的大概时间 |
3.常用的日志文件
日志类型 | 日志文件 |
---|---|
服务信息日志 | /var/log/messages |
系统认证日志 | /var/log/secure |
定时任务日志 | /var/log/cron |
邮件日志 | /var/log/maillog |
系统启动日志 | /var/log/boot.log |
用户登陆日志 | /var/log/utmp |
4.日志级别
级别 | 说明 |
---|---|
emerg | 紧急情况,系统不可用例如系统崩溃 |
alert | 需要立即修复,例如系统数据库损坏 |
crit | 危险情况,例如硬盘错误,可能会阻碍程序的部分功能 |
err | 一般错误消息 |
waening | 警告 |
notice | 不是错误,但可能需要处理 |
info | 通用性消息,一般提供有用信息 |
debug | 调试程序产生的信息 |
none | 不记录任何日志消息 |
注释:从上到下,级别从高到底,记录的信息越来越多(none除外)
详细信息查看“man 3 syslog”
日志管理服务rsyslog
- rsyslog服务是用来采集系统日志的,它不产生日志,只起到采集作用
- rsyslog服务的配置文件是/etc/rsyslog.conf,可以在这里面修改配置
- rsyslog服务可以通过tcp|udp两种协议转发或接收日志消息
tcp 稳定,可以确定收到
udp 速度快不需要应答 - systemctl status rsyslog.service
查看服务
- systemctl restart rsyslog.service
重启服务
远程日志同步
1.接收端(node1):
(1)关闭防火墙
(2)编辑日志配置文件
(3)重启服务
2.发送端(node2):
(1)关闭防火墙
(2)编辑日志配置文件
(3)重启服务
3.测试
(1) 清空两个主机的/var/log/messagrs
方便查看实验结果
(2)发送端新建一个实验日志并查看
(3)接收端查看是否接收到日志信息
当实验时有很多文件生成时不方便查看实验结果时,可以清除/etc/rc.d/rc.local文件
日志采集格式的设定
(1)更改文件/etc/rsyslog.conf
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
(2)重启服务
(3)更改结果
日志的查看命令
journalctl 日志查看工具
journalctl -n 5 查看近5条日志
journalctl -p err 查看报错日志
journalctl -o verbose 查看日志的详细参数
journalctl -f 监控日志
journalctl --since 00:21 --until 00:22
查看00:21到00:22的日志