05-linux日志管理-01-日志文件和rsyslog系统

1. 常用日志

存放位置 /var/log,该目录下目录如下:

1.1 系统日志

./messages 没有明确指明的日志
./secure 安全日志
./dmesg 系统开机相关日志
./audit/audit.log 审计日志
./yum.log yum日志

1.2 服务日志

如:./mysqld.log./httpd/access_log./httpd/error_log

1.2 二进制日志

二进制文件,只能用命令查看

1.2.1 ./wtmp

  • 作用:查看当前登录用户
  • 查看:
[root@harbor ~]# w
 22:25:17 up 39 days,  4:41,  1 user,  load average: 0.00, 0.10, 0.11
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    10.10.222.191    22:20    5.00s  0.01s  0.00s w

1.2.2 ./btmp

  • **作用:**查看最近登录的用户
  • 查看
[root@harbor ~]# last
root     pts/0        10.10.222.191    Thu Jul  1 22:20   still logged in
root     pts/1        10.10.222.191    Thu Jul  1 20:14 - 21:50  (01:35)
root     pts/1        10.10.213.46     Wed Jun 16 16:14 - 16:16  (00:02)
root     pts/1        10.10.222.191    Mon May 31 14:33 - 14:58  (00:24)
root     pts/1        10.10.222.191    Sun May 30 21:16 - 21:31  (00:15)

1.2.3 ./last.log

  • **作用:**所有用户最后一次登录的情况
  • 查看
[root@harbor ~]# lastlog
用户名           端口     来自             最后登陆时间
root             pts/0    10.10.222.191    四 71 22:20:56 +0800 2021
bin                                        **从未登录过**
daemon                                     **从未登录过**
adm                                        **从未登录过**
lp                                         **从未登录过**
sync                                       **从未登录过**

2. rsyslog 系统

2.1 本地日志收集:

配置文件: /etc/rsyslog.conf

infn;mail.none;authpriv.none;cron.none                /var/log/messages
*.err;kern.debug;daemon.notice                           /var/adm/messages
# Thr authpriv file has restricted access.
authpriv.*                                              /var/log/secure
# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog
# Log cron stuff
cron.*                                                  /var/log/cron
# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*
# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler
# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

2.2 远程日志收集

2.2.1 日志服务器操作

  • 打开接收功能
    /etc/rsyslog.cof
#去掉注释,打开tcp协议接收日志功能
$ModLoad imtcp
$InputTCPServerRun 514
#打开UDP协议接收日志功能
$ModLoad imudp
$UDPServerRun 514
  • 重启rsyslog,关闭防火墙。

2.2.2 客户机

  • 定义日志
#一个@表示UDP,@@表示tcp
local7.*    @@10.10.239.xxx:514
  • 重启rsyslog,关闭防火墙

  • 测试:客户机产生一条日志的方法

# logger -p local6.info -t "标题" “内容”

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玄德公笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值