05-linux日志管理-01-日志文件和rsyslog系统

已于 2022-11-13 12:29:42 修改
阅读量268 收藏 1
点赞数 1
分类专栏: linux运维基础 文章标签: linux linux日志 rsyslog 运维基础教程 日志服务器
于 2021-09-18 14:49:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingzuo_1840/article/details/120327359
版权

文章目录

1. 常用日志

存放位置 /var/log,该目录下目录如下:

1.1 系统日志

./messages 没有明确指明的日志
./secure 安全日志
./dmesg 系统开机相关日志
./audit/audit.log 审计日志
./yum.log yum日志

1.2 服务日志

如:./mysqld.log./httpd/access_log./httpd/error_log

1.2 二进制日志

二进制文件,只能用命令查看

1.2.1 ./wtmp

  • 作用:查看当前登录用户
  • 查看:
[root@harbor ~]# w
 22:25:17 up 39 days,  4:41,  1 user,  load average: 0.00, 0.10, 0.11
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    10.10.222.191    22:20    5.00s  0.01s  0.00s w

1.2.2 ./btmp

  • **作用:**查看最近登录的用户
  • 查看
[root@harbor ~]# last
root     pts/0        10.10.222.191    Thu Jul  1 22:20   still logged in
root     pts/1        10.10.222.191    Thu Jul  1 20:14 - 21:50  (01:35)
root     pts/1        10.10.213.46     Wed Jun 16 16:14 - 16:16  (00:02)
root     pts/1        10.10.222.191    Mon May 31 14:33 - 14:58  (00:24)
root     pts/1        10.10.222.191    Sun May 30 21:16 - 21:31  (00:15)

1.2.3 ./last.log

  • **作用:**所有用户最后一次登录的情况
  • 查看
[root@harbor ~]# lastlog
用户名           端口     来自             最后登陆时间
root             pts/0    10.10.222.191    四 71 22:20:56 +0800 2021
bin                                        **从未登录过**
daemon                                     **从未登录过**
adm                                        **从未登录过**
lp                                         **从未登录过**
sync                                       **从未登录过**

2. rsyslog 系统

2.1 本地日志收集:

配置文件: /etc/rsyslog.conf

infn;mail.none;authpriv.none;cron.none                /var/log/messages
*.err;kern.debug;daemon.notice                           /var/adm/messages
# Thr authpriv file has restricted access.
authpriv.*                                              /var/log/secure
# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog
# Log cron stuff
cron.*                                                  /var/log/cron
# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*
# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler
# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

2.2 远程日志收集

2.2.1 日志服务器操作

  • 打开接收功能
    /etc/rsyslog.cof
#去掉注释,打开tcp协议接收日志功能
$ModLoad imtcp
$InputTCPServerRun 514
#打开UDP协议接收日志功能
$ModLoad imudp
$UDPServerRun 514
  • 重启rsyslog,关闭防火墙。

2.2.2 客户机

  • 定义日志
#一个@表示UDP,@@表示tcp
local7.*    @@10.10.239.xxx:514

  • 重启rsyslog,关闭防火墙

  • 测试:客户机产生一条日志的方法

# logger -p local6.info -t "标题" “内容”

玄德公笔记
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
操作系统安全:Linux安全审计,Linux日志详解
wangyuxiang946的博客
04-26 5567
这篇文章给大家介绍Linux用来做安全审计的日志有哪些,解析日志字段含义。
Linux日志记录服务,日志管理工具
贺浦力特的博客
04-11 497
linux日志管理工具
Linux日志服务rsyslog深度解析(下)
最新发布
博客虽小,世界尽在其中
06-08 1133
本文深入探讨了Linux系统中重要的日志服务工具rsyslog的应用与配置。首先,我们简要介绍了rsyslogLinux日志管理中的重要地位,以及它如何帮助系统管理员有效地收集、过滤和存储日志信息。接着,文章详细阐述了rsyslog的基本配置方法,包括如何设置日志消息的接收、过滤和转发规则,以满足不同应用场景的需求。 随后,我们深入讲解了rsyslog的远程存储功能,包括如何将日志消息存储到数据库(如MySQL)和消息队列(如Kafka)等远程服务中。在这部分,我们介绍了如何安装必要的驱动模块、配置rsy
【网安合规】Audit 审计系统服务 - 快速监控检索系统安全事件,合规利器!
WeiyiGeek 唯一极客IT知识分享
04-07 724
本章,作者立足于企业中网络安全等级保护以及安全运维工作需求,从收集、归纳、实践三个部分开始,主要介绍Linux主流操作系统(银河麒麟 KylinOS,Ubuntu、Rocky LInux)中,适用于等保2.0主机安全合规的安全审计audit服务,并快速实践 audit 审计系统服务的搭建配置,以及罗列了常用的一些Linux audit 安全审计规则,然后使用audit插件将审计日志转发到本地rsyslog中,最后使用本地rsyslog服务将日志转发到企业日志中心服务器上,便于后续使用。
关于rsyslog转发auditd日志配置过程及问题排查
喜欢悠闲的博客
08-05 1417
于是再次查找了日志信息 中(audispd: No plugins found, exiting),询问gpt后,了解到audispd一个非常重要的组件,audispd是一个用于处理和转发audit事件的守护程序。在反复修改rsyslog.conf配置文件时,发现每次使用命令systemctl stop audit停止服务,服务端可以收到来自客户端的audit日志,但是用命令systemctl start audit开启服务后,则服务端停止接收audit日志。MODULES:定义消息来源的模块。
rsyslog详解
热门推荐
wq1205750492的博客
05-23 2万+
一、日志介绍 日志概念 日志系统用来记录系统及应用程序运行时的一些相关信息的文本文件 日志作用 日志是为了保存相关程序的运行状态、错误信息等,为了对系统进行分析、保存历史记录以及在出现错误时发现、分析错误使用 linux系统日志类型 内核信息 服务信息 应用程序信息 二、rsyslog 1、rsyslog介绍 rsysloglinux系统中用来实现日志功能的服务。默认已经安装,并且自动启用。 作用:主要用来采集日志,不生产日志 其特性包括: 支持输出日志到各种数据库,如 MySQ
rsyslog日志系统
hello,word!
02-10 2139
模板定义的形式有四种,适用于不同的输出模块,一般简单的格式,可以使用string的形式,复杂的格式,建议使用list的形式,使用list的形式,可以使用一些额外的属性字段(property statement),例如:position.from、position.end。比较典型的一个例子,针对不同的端口使用不同的过滤规则。在定义好ruleset后,各个输出模块就可以指定自己使用的ruleset了,具体如何指定,可以查看输出模块的手册,一般会有一个ruleset的参数,用来实现这个功能。
Linux原生日志系统Rsyslog详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-25 1万+
一、概述 Rsyslog 是一个 syslogd 的多线程增强版,依然基于Syslog协议(linux6之前默认使用syslog程序,centos6用rsyslog所取代)完成系统日志的处理转发,官方形容它是一个极速(如火箭般快速)的日志处理系统。它提供高性能、极好的安全功能和模块化设计。虽然它基于常规的 syslogd,但 rsyslog 已经演变成了一个强大的工具,可用于: 1)接收来自各种来源的输入 2)转换过滤格式化输出 3)将结果输出到不同的目的地,集成日志分析平台 Rsyslog支持 MySQL
RSYSLOG系列】rsyslog远程服务器搭建
weixin_54954007的博客
11-11 2254
搭建接收日志rsyslog服务器
Linux系统日志文件的打印与存储
02-24
Linux系统中,日志文件管理和分析是系统维护和故障排查的重要环节。日志文件记录了系统运行过程中的各种事件,包括系统启动、服务状态、应用程序错误、安全事件等,为管理员提供了宝贵的信息资源。本文将深入...
rsyslog日志转发配置(服务端和客户端)
12-06
linux rsyslog日志转发配置(服务端和客户端),配置日志转发服务,把系统日志转发到其他linux系统
Linux_如何处理系统日志系统轮转
01-09
知道了在Linux系统中如何进行rsyslog 系统日志管理和 logrotate日志轮转。 拼搏到无能为力,坚持到感动自己。 简述: 1.处理日志程序 a。rsyslog b。其他不同的应用 2.常见的日志文件 ar/log/messages ar/log/...
Linux实验-日志管理
04-12
3. **日志配置文件**:`rsyslog`是常见的日志管理系统,其配置文件通常位于`/etc/rsyslog.conf`。通过编辑这个文件,我们可以自定义日志处理规则,比如将`local1`设备的所有日志重定向到`/var/log/mylog`。 4. **...
ygm-log.zip_Linux日志
09-22
在IT行业中,Linux日志系统管理和监控操作系统活动的关键部分,尤其对于系统管理员和开发者来说,日志文件提供了丰富的信息,帮助诊断问题、追踪错误、分析性能和确保系统的安全性。"ygm-log.zip"是一个包含Linux...
syslog配置
flysky的专栏
04-18 7158
客户端1,配置/etc/syslog.conf文件文件末尾添加如下信息:local4.notice;local4.info;local4.err;local4.debug       /var/log/local4     将设备local4中基本消息级别为notice,info等的信息写入本机的/var/log/local4文件local4.notice(将记录notice级别以上的日志)  
Linux 用户空间审计系统
samssm的专栏
05-15 1526
Linux 用户空间审计系统 2012-05-21 17:02 曹江华 51cto.com 字号:T | T Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后管理员可以评审这些日志,确定可能存在的安全漏洞,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux用户空间审计系统,在Red Hat Enterprise Linux
Linux audit【规则设置篇】
u010154760的专栏
04-08 1万+
前面两篇博文介绍了Linux audit的架构,以及守护auditd的配置。让audit真正的为我们服务,还需要配置audit的规则,也就是说我们要audit什么样的事件,具体什么事件需要audit来监控跟实际的应用有关。这里主要介绍audit的规则配置工具auditctl和文件配置方法/etc/audit/audit.rules.      这里首先介绍auditctl的应用,具体使用指南
rsyslog masg和rawmsg的区别
weixin_30297281的博客
08-11 172
msg the MSG part of the message (aka “the message” ;)) message 的MSG 部分 rawmsg the message excactly as it was received from the socket. Should be useful for debugging. It is also useful if a mes...
rsyslog-kafka
11-18
rsyslog是一个功能强大的开源日志收集器,可用于在Linux系统上收集、处理和转发日志数据。而Kafka是一个高度可扩展的分布式消息系统,用于实时处理和存储大量数据。 通过rsyslog-kafka的集成,我们可以将rsyslog...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玄德公笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值