日志分析：

日志分析：
日志：系统，程序运行必然会产生相关的运行信息，这些信息会统一记录在日志当中

系统自定义：系统创建完之后会专门生成一个用于记录系统运行的日志文件

针对第三方服务：不是系统自带的，由程序员自定义的软件或者第三方开放的一些软件，运行在系统上，一些日志是第三方服务自带的，不需要人工配置，服务本身没有记录日志的功能，需要人工配置日志文件。

系统日志：/var/log/messages 这个日志文件包含了所有系统以及服务，包括第三方
(必须要配置在systemd的文件里面，有他的运行配置文件)，yum安装，或者rpm安装，
自动添加到systemed当中，不需要你手工配置。

messages：里面包含的第三方服务，只有运行日志，没有具体的第三方服务的业务日志。，
第三方服务由自己的业务日志，但是不保存自己的运行日志

日志的基本格式:
access log
messages

发生时间，必带的记录   时间戳
进行了哪些操作，执行了什么任务，反馈了什么结果，还有什么具体的业务信息，必带信息      操作记录

*info;mail.none;authpriv.nonercron.none      /var/log/messages
*:表示所有
info: 日志的级别
none:日志级别，不记录

日志消息的级别：
级别
 0    EMERG  紧急         会导致主机系统不可用的情况
 1    ALERT 警告            必须马上采取措施解决的问题
 2    CRIT   严重              比较严重的情况
 3    ERR  错误                运行出现错误
 4    WARNING   提醒     可能会影响系统功能的事件
 5    NOTICE   注意         不会影响系统但值得注意
 6    INFO 信息                一般信息
 7    DEBUG 调试            程序或系统调试信息等

local: 自定义服务的日志，范围0-7
对应的服务也必须配置对应local等级

改配置文件前一定要备份
cp /etc/rsyslog.conf /opt/rsyslog.conf.bak.20230628
vim /etc/rsyslog.conf   
systemctl restart rsyslog.service  重启服务

查看方式：
tail -f 动态查看
awk 切片查看
sed 范围查看

总结：系统日志，系统自带的，messages,htpd做为第三方服务，为什么能在系统日志当中。
核心在他配置在系统服务的目录当中。可以由系统进行操作，stemtl 开，关，重启。
控制运行的记录可以记录在系统日志当中访问日志，报错日志，都在自己的业务日志当中。

日常工作中对于日志：业务型日志，一般来说保留两到三天

日志的保存类型不同，期限不同，用户信息永久保存，不能删除，而且要定期备份。

其他类型：如交易记录等保留半年。但是会有备份，想查也能查询到，但是不在第一页面展示

权限控制：一般核心业务的日志，只有少数权限人员可以查看

生产环境：运维人员一般会有root密码

users ：显示当前登录系统的所有用户列表

users -w：详细显示

last：截至目前为止所有登陆过系统的用户列表

lastb：查询登录失败的用户记录

实验：配置系统服务的单独实验

实验二：配置日志服务器来收集日志、