Linux 日志/日志管理/日志服务器配置

日志

概述

日志分类

日志在系统中的功能，用于记录系统、程序运行中发生的各种事件。通过阅读日志，有助于诊断、解决系统故障。日志文件的分类：

日志的类别	说明
内核及系统日志	由系统服务syslog 统一管理，日志格式相似。
用户日志	记录系统用户登录及退出系统的信息。
程序日志	由各种应用程序独立管理的日志文件，格式不统一。

主要日志

日志保存在目录/var/log/ 下。主要日志文件包括：

主要日志	说明
/var/log/secure	用户登录、认证日志
/var/log/messages	内核、公共消息日志
/var/log/cron	计划任务日志
/var/log/dmesg	系统引导日志
/var/log/maillog	邮件系统日志
/var/log/lastlog /var/log/wtmp /var/log/btmp	用户登录日志

日志管理

服务和配置文件

• rsyslog.service

• 配置文件 /etc/rsyslog.conf

• 修改配置文件前提前备份

  cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
  

  关键内容	说明
  MODULES	模块加载区域， 只要加载了对应的模块（去掉# 注释）， 就认为开启了对应的功能。
  $ModLoad imtcp $InputTCPServerRun 514	开启日志服务器 TCP 协议 监听端口514
  GLOBAL DIRECTIVES	全局配置选项 定义了不同目录的功能和日志记录的格式等内容
  $IncludeConfig /etc/rsyslog.d/*.conf	将指定目录中*.conf 文件 作为配置文件的一部分
  RULES	日志记录规则
  autopriv.*	所有级别登录日志

• 配置文件核心思路：哪个进程的什么级别的日志记录到哪里。

  authpriv.*  /var/log/secure.test
  --------.-  --------------------
      |    |          |
      |    |          `-----> 记录日志文件路径
      |    `----------------> 日志级别
      `---------------------> 进程名称
  

日志的级别

级别	描述	说明
EMERG	紧急	会导致主机系统不可用（崩溃）的情况
ALERT	警告	必须马上采取措施解决的问题
CRIT	严重	比较严重的情况
ERR	错误	运行出现错误
WARNING	提醒	可能会影响系统功能的事件
NOTICE	注意	不会影响系统但值得注意
INFO	信息	一般信息
DEBUG	调试	程序或系统调试信息等

手动触发日志

• 监视日志文件

  tail -f /var/log/secure
  

• 手动触发 debug 日志

  logger -p authpriv.debug "=^_^="
  

• 触发 emerg 日志

  logger -p authpriv.emerg "0_o.zzZZ..."
  

搭建日志服务器

思路

步骤	日志服务器配置思路	说明
1.	发送端和接收端	IP 地址
2.	发送端配置	用什么方式（协议）发送日志 发送的日志内容是什么 发往哪一个端口
3.	接收端配置	使用什么协议，哪个端口号接收日志 接收日志的条件 日志的存储位置

发送端配置

vim /etc/rsyslog.conf
# 修改第 90 行
authpriv.* @@172.16.1.200:514
# authpriv指的是“安全/授权”相关的日志信息
# *表示所有的severity级别，即所有的日志信息都会被包括在内。
# @@表示使用TCP协议发送日志信息
# 172.16.1.200是syslog服务器的IP地址
# 514是syslog服务器的TCP端口号。

接收端配置

• 开启 TCP 协议及 514 端口

  vim /etc/rsyslog.conf
  # 开启第 19、20 行，开启端口和TCP
  
  # 添加允许接收的 ip 和此 ip 传入的日志的存储地址 
  :fromhost-ip,isequal,"172.16.1.100" /var/log/client _secure/172.16.1.100.log
  # fromhost-ip 哪个IP 发送过来的
  # isequal 等于
  

• 重启服务

  systrmctl restart rsyslog.service