Linux系统日志管理

已于 2023-10-18 09:45:46 修改
阅读量158 收藏
点赞数
分类专栏: Linux 文章标签: linux 运维 服务器
于 2023-10-16 11:29:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53772682/article/details/133851428
版权

Linux系统日志管理

        系统日志:操作系统本身和大部分服务器程序的日志文件,记录系统产生的各种事务,在某个时间点发生了什么以及发生的原因。一般默认保存在 /var/log/ 目录下

  • /var/log/messages:保存了内核还有公共消息日志(所有的服务控制日志都在这里),包括启动错误,IO错误,网络错误,程序故障等,这是最常看的日志。
  • /var/log/cron:执行计划任务产生的日志
  • /var/log/secure:系统记录用户认证的安全信息日志

        这些系统日志由Linux自带的 rsyslog 系统服务进行统一管理,rsyslog 的配置在 /etc/rsyslog.conf 内。

        第三方程序使用自带的日志,系统 /var/log/messages 内只会记录第三方服务的控制日志(开启,关闭,重启等),对于业务日志(访问记录,访问报错等)都由第三方程序自己保存。

日志级别

总共 0-7 八个级别,数字越小,优先级越高,消息越重要

  • 0 EMERGE,紧急:会导致主机系统不可用的情况
  • 1 ALERT,警告:必须马上采取措施解决的问题,比如非法入侵,账号被篡改等
  • 2 CRIT,严重:比较严重的情况,比如磁盘满了,内存不够等
  • 3 ERR,错误:程序运行时的错误信息,需要尽快修复
  • 4 WARING,提醒:可能会影响系统功能,需要用户注意的事项,比如根目录 inode 耗尽
  • 5 NOTICE,注意:不会影响正常功能,但是是一些需要注意的事件,不需要处理
  • 6 INFO,信息:正常的系统运行产生的信息
  • 7 DEBUG 调试信息,一般是调试程序时产生的一些信息
  • none 无优先级,不会记录任何消息

优先级可以由开发者自定义

如何自定义系统日志的一些规则

先看一下系统日志的配置文件,/etc/rsyslog.conf,主要看从46行开始的 RULES,也就是 规则。

这一句是什么意思?

*.info;mail.none;authpriv.none;cron.none                /var/log/messages


mail,authpriv这些是设备字段,表示日志的来源

常用的设备字段:

  • auth:用户认证产生的日志
  • authpriv:远程登录产生的验证信息
  • ftp:FTP服务产生的日志
  • mail:邮件产生的日志
  • cron:定时任务产生的日志
  • kern:系统内核的日志
  • user:用户进程的日志
  • syslog:系统日志

.info,.none这些表示具体的日志等级

相关规则如下:

  • mail.info 表示的是mail的 info 及以上级别的日志,也就是0-6级别的日志
  • mail.=info 明确了日志级别,只有 info 级别的日志才会记录
  • mail.!info 表示除了 info 级别,其他级别的日志都要记录
  • mail.* 表示所有级别的日志都要记录
  • mail.info;user.notice 表示 mail 的 info 及以上级别的日志和 user 的 notice 及以上级别的日志都要记录
  • mail.none 表示 mail 的日志不需要记录
  • local 表示自定义服务,范围是 local0 - local7 ,支持在 rsyslog.conf 这个文件中对应 local 等级,自定义把相关进程添加到系统日志的配置当中

/var/log/messages 这些表示前面日志的存储位置

所以这句话的意思是:将除了 mail 相关日志,authpriv 相关日志,cron 相关日志以外所有 info 及以上级别的日志都存储在 /var/log/messages 中。

*.info;mail.none;authpriv.none;cron.none                /var/log/messages
实验1:将远程连接的服务日志单独存放
  1. 首先找到 ssh 配置的文件,默认在 /etc/ssh/sshd_config,看下原本的设置是这样的:

    当有人使用 SSH 登入系统的时候,SSH 会记录信息,这个信息要记录的类型默认为AUTHPRIV。
  2. 此时我们添加一行设置

    保存退出,此时 SSH 登录的日志会被记录为 LOCAL6 类型
  3. 然后我们再进入 /etc/rsyslog.conf,在 begin forwarding rule 之前添加一句

    这表明将 local6 类型的所有级别的日志存放到 /var/log/ssh.log 内
  4. 重启一下相关服务
  5. 最后我们远程登陆一下看看效果

    没有毛病
实验二:把本机的日志文件存储到指定的服务器上
  1. 先对本机 /etc/rsyslog.conf 进行配置

    192.168.79.11是我想要存储日志文件的目标服务器的IP地址
    @@表示强制使用TCP协议传输数据
  2. 将TCP传输的端口打开(把注释取消掉就行)
  3. 重启一下服务,接着看一下端口号有没有正常开启
  4. 将服务器的TCP传输的端口也打开,同样进行检查

  5. 用 logger 命令在本机上测试一下
  6. 本机的 /var/log/messages 上并没有记录

    服务器上的 /var/log/messages 上有记录

    没有毛病
唐十洪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux系统中的日志管理
omixx的博客
02-01 247
文章目录Linux系统中的日志管理一.journald二.用journald服务永久存放日志三.rsyslog1.自定义日志采集路径2.如何更改日志采集格式四.日志的远程同步五.timedatectl六.时间同步服务 Linux系统中的日志管理 一.journald journald服务名称:systemd-journald.service 默认日志存放路径:/run/log journalctl命令可以对于日志进行查看和修改 命令 作用 journalctl -n 3 查看日志的最新三
Linux系统日志全面分析
02-09
Linux系统日志的重要性在于它可以帮助管理员了解系统的运行状态,例如系统崩溃、硬盘错误、用户认证失败等。管理员可以通过查看日志文件来了解系统的运行情况,并快速定位和解决问题。 Linux系统日志可以分为不同的...
LInux系统中的日志管理
moxiliushui的博客
07-28 967
一、虚拟机环境设定: 本次系统日志管理有关的内容均在两台虚拟机中完成 设置客户端desktop虚拟机名称为client,ip地址为172.25.254.115 设置服务端server虚拟机名称为server,ip地址为172.25.254.215 具体设置方法如下: 1.配置网络: nm-connection-editor 删除旧的,新建网络 Ethernet中Conn...
Linux日志管理详解.docx
12-16
Linux日志管理是指对Linux系统中各种日志文件的管理和分析,以便更好地了解系统的运行状态、检测和解决问题。该过程包括日志文件的查看、分析和管理,旨在提高系统的安全性和可靠性。 日志连接时间管理 Linux系统...
linux系统日志详解
11-17
Linux系统日志详解 在Linux操作系统中,日志系统扮演着至关重要的角色,它记录了系统运行中的事件、错误和警告信息,为管理员提供了一种监控和诊断系统状况的手段。Linux日志主要分为几个部分,包括日志的分类、...
集中化Linux日志管理系统
07-31
Linux系统中的日志通常遵循syslog协议,该协议定义了日志消息的结构和级别,如警告、错误、信息等。还有一些应用程序有自己的日志格式,例如Apache HTTP服务器的日志文件。 **3. 集中化日志管理系统组件** - **...
Linux 日志管理
01-09
rsyslog 系统日志管理 一、处理日志的进程 第一类: rsyslogd: 系统专职日志程序。 处理绝大部分日志记录, 系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息 第二类: httpd/nginx/mysql: 各类应用...
linux系统日志管理
qq_46424955的博客
08-06 122
linux系统日志管理 日志存储 日志的存储由rsyslog程序管理,配置相应的rsyslog配置文件,即可实现对日志存储相关的管理 rpm -qc rsyslog \\查看rsyslog程序配置文件 vim /etc/rsyslog.conf 常见的日志文件 tail /var/log/messages \\系统日志文件 tail /var/log/secure \\认证,安全日志文件 tail /var/log/yum.log \\yum日志 tail
linux系统日志管理
fighting_s的博客
10-17 241
rsyslog 此服务是用来采集系统日志的。他不产生日志,只是起到采集作用 rsyslog的管理 配置文件/etc/rsyslog.conf /var/log/messages----------服务信息日志 /var/log/secure----------------系统登陆日志 /var/log/cron--------------------定时任务日志 /var/log/m...
Linux中的日志管理
my990209的博客
06-10 1563
1.实验环境需要在关闭防火墙的环境下进行日志管理操作systemctl stop firewalld 2.journalctl日志管理(1)存放位置 /run/log/journal/ (2)具体操作journalctl //查看日志 journalctl -n 3 //查看最近三条日志 ournalctl --since "21:10" //查看21:10后的日志 ournalct
Linux日志管理
PandaQ的博客
04-27 286
1、基本介绍 日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。 日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。 可以这样理解:日志是用来记录重大事件的工具。 2、 系统常用的日志 /var/log/目录就是系统日志文件的保存位置,看张图: 系统常用的日志一览: 日志文件 说明 /var/log/boot.log 系统
Linux日志级别
kashine的博客
03-22 1287
用 printk 的时候不显式的设置消息级别,那 么 printk 将会采用默认级别MESSAGE_LOGLEVEL_DEFAULT,即4。上述代码就是设置“gsmi: Log Shutdown Reason\n”这行消息的级别为 KERN_EMERG。printk 可以根据日志级别对消息进行分类,这 8 个消息级别定义在文件。
Linux环境下通过journal命令查看和管理日志
最新发布
AlbertS Home of Technology
12-22 3785
就在半月之前,负责打包更新的服务器突然登录不上去了,赶紧找来运维的同事帮忙解决,发现系统日志中有很多 `systemd-journald[424]: Failed to open runtime journal: No space left on device` 字样的错误,被告知磁盘满了需要清理,但是我当时登录不上去,只能让他们帮忙重启后利用单用户模式上去删除临时文件试试,但重启后发现问题解决了,很是诧异,查询服务器后台监控平台,发现磁盘空间还有50%,inode只占用了0.02%,这怎么会磁盘满了呢..
Linux系统日志管理:重要指南与应用
理解和熟练掌握Linux系统日志管理是每个系统管理员必备的技能,它涉及到文件结构、日志类型、配置设置等多个方面。定期检查、分析和归档日志,不仅可以提高系统的稳定性和安全性,也是确保网络安全和高效运维的关键...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值