日志管理
rsyslog查看系统日志
- rsyslog定义:
该服务是用来采集系统产生的日志的,自身不产生日志,只是起到采集作用。
vim /etc/rsyslog.conf
- rsylog的管理:(/var存的是系统数据)
| /var/log/messages | 服务信息日志 |
|---|---|
| /var/log/secure | 系统登录日志 |
| /var/log/cron | 定时任务日志 |
| /var/log/maillog | 邮件日志 |
| /var/log/boot.log | 系统启动日志 |
- 可以指定日志采集的路径
日志采集的规则为:什么类型的日志.什么级别的日志 ————>/var/log/file - 日志的类型:
| auth | pam产生的日志(PAM全称是Pluggable Authentication Module for linux(可插入式授权管理模块),被用来管理LINUX系统下应用、服务等的授权,如login,su等) |
|---|---|
| authpiv | ssh、ftp等登录信息的验证信息 |
| cron | 定时任务相关 |
| kern | 内核相关 |
| lpr | 打印 |
| 邮件 | |
| mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的信息 |
| uucp | Unix to unix copy,unix主机之间相关的通讯 |
| local1~7 | 自定义的日志设备 |
- 日志的级别:
| debug | 有调试信息的,日志信息最多 |
|---|---|
| info | 一般信息的日志 ,最常用 |
| notice | 最具重要性的普通条件的信息 |
| warning | 警告级别 |
| err | 错误级别,阻止某个功能或模块不能正常运行的信息 |
| crit | 严重级别,阻止整个系统或者软件不能正常工作的信息 |
| alert | 需要立即修改的信息 |
| emerg | 内核崩溃等严重信息 |
| none | 什么都不记录 |
注意:这个级别表从上到下,级别从低到高,记录的信息越来少。
更详细的信息需要查看手册:
man 3 syslog
实验流程:
- 目的:把系统中所有日志采集到/var/log/fuck文件中
- 操作:
vim /etc/rsyslog.conf
(日志类型).(日志级别) /var/log/对应文件夹(默认自动生成)
*.* /var/log/fuck
修改完成后,别忘了重启服务生效
systemctl restart rsyslog
- 测试:
systemctl restart sshd
该命令目的是为了产生日志信息
cat /var/log/fuck 或者监控 tail -f /var/log/fuck
此文件出现日志信息
具体实验:
前言:man 5 rsyslog.conf查看rsyslog.conf文件格式描述,发现
- 在日志发送方(客户端):
vim /etc/rsyslog.conf
*.* @172.25.254.218 ##"@"表示udp协议发送,“@@”表示tcp协议发送,“:omrelp”表示RELP发送
修改配置完别忘了:systemctl restart rsyslog
- 在日志接收方(服务器端)
vim /etc/rsyslog.conf
15行: $ModLoad imudp ————删掉#注释,日志接收模块
16行:$UDPServerRun 514 ————删掉#注释,开启接收端口
别忘了重启服务:systemctl restart rsyslog
- 在发送方和接收方都关闭火墙
systemctl stop firewalld ##关闭火墙
systemctl disable firewalld ##设定火墙开机不启动
systemctl status firewalld ##查看火墙状态
- 测试是否成功:
先在客户端设定日志内容及产生的目录,这里设成所有级别日志信息都发送到/var/log/fuck下,
这里发现客户端日志已经成功了,为了检测,我们需要用logger 字符串 产生一条日志测试:(同样可以用空字符重定向的方法清理掉不必要的日志信息)
1521
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
