本文介绍了Linux系统日志的重要性和存储位置,详细讲解了rsyslog服务的配置和日志的远程同步方法,包括UDP和TCP协议的设置。此外,还涵盖了日志级别、时间同步服务chronyd的配置,以及管理系统时间的timedatectl命令和systemd-journald的基本知识。
1.什么是系统日志
- 进程和操作系统内核需要能够为发生的事件记录日志
- 这些日志可用于系统审核和问题的故障排除
- 一般这些日志永久存储 /var/log目录中
- 简单来说就是记录系统在什么时候有哪个进程做了什么操作,发生了何种事件
- 查询日志文件可以帮助我们解决系统方面的错误、解决网络服务的问题和记过往事件记事本
2. rsyslog服务
- rsyslog是一个开源工具
- 被广泛应用于Linux系统以通过TCP/UDP协议转发或接受日志消息
- rsyslog服务的主配置文件为 /etc/rsyslog.conf
- 指定日志保存位置修改配置文件,修改后重启rsyslog服务生效
- 此服务是用来采集系统日志的,并不生产日志,只起到采集作用
3. 常见日志文件文件名
| /var/log/messages | 服务信息日志(大多数系统日志信息记录在此处) |
|---|---|
| /var/log/secure | 系统登陆日志(安全和身份认证相关的信息和错误的日志文件) |
| /var/log/cron | 定时任务日志 |
| /var/log/maillog | 邮件日志 |
| /var/log/boot.log | 系统启动日志 |
注:
- 采集日志时,指定日志采集路径
- 日志类型 . 日记级别 /var/log/file(日志存放文件) #日志采集规则
示例: 把系统中所有日志文件采集到 /var/log/aaa文件中
[root@mxh ~]# vim /etc/rsyslog.conf ##编辑rsyslog服务的配置文件(操作部分)
[root@mxh ~]# systemctl restart rsyslog.service ##重启服务(操作部分)
[root@mxh ~]# ll /var/log/aaa ##此命令及以下都为测试部分
-rw-r--r-- 1 root root 466 Oct 22 12:55 /var/log/aaa
[root@mxh ~]# cat /var/log/aaa ##显示系统中原有的日志信息
Oct 22 12:55:22 mxh rsyslogd: [origin software="rsyslogd" swVersion="7.4.7" x-pid="3227" x-info="http://www.rsyslog.com"] start
Oct 22 12:55:22 mxh rsyslogd-2307: warning: ~ action is deprecated, consider using the 'stop' statement instead [try http://www.rsyslog.com/e/2307 ]
Oct 22 12:55:22 mxh systemd: Stopping System Logging Service...
Oct 22 12:55:22 mxh systemd: Starting System Logging Service...
Oct 22 12:55:22 mxh systemd: Started System Logging Service.
[root@mxh ~]# systemctl restart sshd.service ##重启sshd服务
[root@mxh ~]# cat /var/log/aaa ##查看日志存储文件
Oct 22 12:55:22 mxh rsyslogd: [origin software="rsyslogd" swVersion="7.4.7" x-pid="3227" x-info="http://www.rsyslog.com"] start
Oct 22 12:55:22 mxh rsyslogd-2307: warning: ~ action is deprecated, consider using the 'stop' statement instead [try http://www.rsyslog.com/e/2307 ]
Oct 22 12:55:22 mxh systemd: Stopping System Logging Service...
Oct 22 12:55:22 mxh systemd: Starting System Logging Service...
Oct 22 12:55:22 mxh systemd: Started System Logging Service.
Oct 22 12:57:30 mxh systemd: Stopping OpenSSH server daemon...
Oct 22 12:57:30 mxh sshd[1240]: Received signal 15; terminating.
Oct 22 12:57:30 mxh systemd: Starting OpenSSH server daemon...
Oct 22 12:57:30 mxh systemd: Started OpenSSH server daemon.
Oct 22 12:57:30 mxh sshd[3256]: Server listening on 0.0.0.0 port 22. ##生成sshd服务信息
Oct 22 12:57:30 mxh sshd[3256]: Server listening on :: port 22.编辑配置文件的内容如下图:
4.日志类型
| auth | pam产生的日志 |
|---|---|
| authpriv | ssh,ftp等登录信息的验证信息 |
| cron | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| 邮件 | |
| mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unix to unix copy,unix主机之间相关的通讯 |
| local 1~7 | 自定义的日志设备 |
5.日志级别
| debug | 7,有调式信息的,日志信息最多(错误检测等级) |
|---|---|
| info | 6,一般信息的日志,最常用 |
| notice | 5,最具有重要性的普通条件的信息 |
| warning | 4,警告级别 |
| err | 3,错误级别,阻止某个功能或者模块不能正常工作的信息 |
| crit | 2,严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
| alert | 1,需要立刻修改的信息 |
| emerg | 0,内核崩溃等严重信息 |
| none | 什么都不记录(不需要登录等级) |
注意:
- 0-6之间,等级数越高代表越没事,靠近0则代表系统出现致命问题
- 当我们想做一些错误检测,或忽略掉某些服务信息时,就用debug或none
- 详细的可以查看手册:man 3 syslog
6.日志的远程同步
1.在日志的发送方
- vim /etc/rsyslog.conf#编辑配置文件
- * . * @接受方主机ip #编辑内容 "@“表示udp协议发送,”@@"表示tcp协议发送
- systemctl restart rsyslog#重启服务
[root@mxh ~]# vim /etc/rsyslog.conf ##编辑配置文件
[root@mxh ~]# > /var/log/messages ##清空日志文件
最低0.47元/天 解锁文章
扫一扫
2817
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
