版权声明:©;2004 Microsoft Corporation. All rights reserved. https://blog.csdn.net/qq_42036824/article/details/83062457
一、系统日志
- 系统日志: 进程和操作系统内核需要能够为发生的事件记录日志,这些日志可用于系统审核和时间的故障排除,一般这些日志永久存储于/var/log目录中
- 系统默认日志的分类:
/var/log/messages 服务信息日志,包括服务的信息,报错等等,大多数系统日志信息记录在此
/var/log/secure 系统认证信息日至
/var/log/cron 定时任务日志
/var/log/maillog 邮件服务日志
/var/log/boot.log 系统启动日志
二、日志管理服务rsyslog
- rsyslog是一个开源工具,被广泛用于linux系统以通过TCP/UDP协议转发或接受日志消息
UDP 速度快,不需要应答
TCP 稳定,确认收到 - rsyslog 服务是用来采集系统日志的,不产生日志,只起到采集的作用, 对我们的日志进行管理
- rsyslog服务主配置文件是
/etc/rsyslog.conf
指定日志保存位置修改配置文件,修改后重启rsyslog服务生效
- systemctl status rsyslog.service 查看服务
- systemctl restart rsyslog.service 重启服务
- 格式:
日至的类型
.日至的级别
/var/log/file(存放文件)
- 日志的类型
auth pam产生的日志
authpriv ssh,ftp等登陆信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark(syslog)-rsyslog 服务内部的信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy,unix主机之间相关的通讯
local 1~7 自定义的日志设备 - 日志级别
debug 有调式信息的,日志信息最多
info 一般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止整个系统或者整个软件不能正常工作信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
none 什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册:man 3 syslog
三、远程日志的同步
此处的实验中:
主机:node1——>接收端
主机:node2——>发送端
(一)接收端:
(1)关闭火墙
(2)编辑日志配置文件vim /etc/rsyslog.conf
(3)重启rsyslog服务
(二)发送端:
(1)关闭火墙
(2) 编辑日志配置文件vim /etc/rsyslog.conf
(3)重启服务
注意:两台主机防火墙都要关闭,并且修改完文件后都要重启服务
(三)测试
- 先清空两个主机的/var/log/messages,为了方便查看实验效果
- 发送端新建一个日志并查看
- 接收端查看是否接收到日志信息(从截图可看接收成功)
(四)清除/etc/rc.d/rc.local文件
做实验的时候我们会发现有很多此类文件的生成,不方便实验的查看
所以我们可以进行以下操作将相关文件清除掉:
四、采集文件
- 采集日志格式的设定:vim /etc/rsyslog.conf
2.重启服务(此步骤不要忘记)
3.测试
五、日志分析
- systemd-journald服务
提供一种改进的日志管理服务,可以手机来自内核/启动服务,标准输出,系统日志及守护进程启动和运行期间错误的消息,它将这些消息写入到一个结构化事件日志中 - journalctl 日志分析命令,按q退出
注意:如果系统reboot则用journalctl查看的日志信息将不存在
journalctl -n 5 显示最新5条的进程
journalctl --since 09:20
journalctl --since 09:20 --until 09:21:50 显示一个时间段的进程信息
journalctl -p err 显示系统报错
journalctl -f 监控日志 ctrl+c退出
journalctl -o verbose 显示日志能够使用的详细进程参数
journalctl _PID=1055 _COMM=sshd
- 用journalctl的方式采集日志
默认情况下,systemd日志保存在/run/log/journal中,这意味着系统重启时会被清除,那如果将日志保存在/var/log/journal目录,这样做的优点是启动后就可以利用历史数据,形成永久日志
实现步骤如下: