Linux入門之系統日誌管理

2021-09-17 18:47:55 字數 3664 閱讀 5925

在linux系統中,有專門採集資訊的服務rsyslog,它不產生日誌,只起到採集作用。採集日誌的目的則是為了記錄系統中有意義的動作,遇到系統故障,我們可以通過日誌來恢復比較重要的資訊。因此,日誌的採集對我們使用者尤為重要。

日誌檔案記錄了時間、地點、人物和事件四大資訊,系統的日誌檔案預設都集中放置到/var/log目錄內,其中message記錄的資訊最多。日誌檔案的重要性主要體現在:解決系統方面的錯誤、解決網路服務的問題和過往事件的記錄。通常日誌檔案只允許root使用者讀取。

一、rsyslog的管理

rsyslog的特性:

rsyslog相關檔案

什麼型別的日誌.什麼級別的日誌     /var/log/file   ##日誌採集規則
(1)日誌型別

型別說明

auth

pam產生的日誌

authpriv

ssh,ftp等登入資訊的驗證資訊

cron

時間任務相關

kern

核心lpr

列印mark(syslog)-rsyslog

服務內部的資訊,時間標識

news

新聞組user

使用者程式產生的相關資訊

uucp

unix to unix copy, unix主機之間相關的通訊

local 1~7

自定義的日誌裝置

(2)日誌的級別

級別說明

debug

有調式資訊,日誌資訊最多

info

一般資訊的日誌,最常用

notice

最具有重要性的普通條件的資訊

warning

警告級別

err錯誤級別,阻止某個功能或模組不能正常工作的資訊

crit

嚴重級別,阻止整個系統或者整個軟體不能正常工作的資訊

alert

需要立刻修改的資訊

emerg

核心崩潰等嚴重資訊

none

什麼都不記錄

注意:從上到下,級別從低到高,記錄的資訊越來越少

詳細的可以檢視手冊 man 3 syslog

操作示例:

(1)目的: 把系統中所有日誌採集到/var/log/westos檔案中

(2)操作

vim /etc/rsyslog.conf     ##修改日誌檔案


*.* /var/log/westos


systemctl restart rsyslog ##重啟日誌服務


(3)測試


systemctl restart sshd     ##此命令的目的是為了生成日誌


cat /var/log/westos ##此檔案**現日誌資訊


注意:我們將系統日誌採集到/var/log/westos檔案時,該檔案不存在,在重啟rsyslog後會自動生成該檔案,並將採集的日誌放在裡面。


二、日誌的遠端同步


準備工作:


對傳送方和接收方同時操作


我們發現將/var/log/messages清空,仍存在許多日誌資訊,這些/etc/rc.d/rc.local資訊將會影響我們的實驗效果,我們需要將其清理掉。


> /etc/rc.d/rc.local


reboot


2. 日誌檔案的修改


(1)在日誌傳送方


vim /etc/rsyslog.conf


*.* @172.25.254.155 ##@表示udp協議傳送,@@表示tcp協議傳送


systemctl restart rsyslog


通過【man 5 rsyslog.conf】可以檢視upd或者是tcp的使用方法


(2)在日誌接受方


vim /etc/rsyslog.conf


15 $modload imudp 日誌接受模組


16 $udpserverrun 514 開啟接收埠


netstat -antlupe | grep rsyslog 檢視udp埠是否開啟


通過netstat -antlupe | grep rsyslog命令,我們可以看到udp埠已經開啟了


執行以上命令,我們發現傳送方的日誌還是不能同步到接收方,為此我們進行排錯,在網路鏈結正常、udp埠開啟的情況下,我們發現防火牆不允許外來資料報的傳送,因此,我們需要關閉防火牆,再繼續執行。


systemctl stop firewalld         ##關閉火牆


systemctl disable firewalld ##設定火牆開機關閉


3. 測試


(1)日誌傳送方


> /var/log/messages       ##清空日誌資訊


logger test ##生產日誌資訊


cat /var/log/messages ##檢視日誌是否已經生成


在日誌接收方檢視


(2)日誌接收方


> /var/log/messages       ##清空日誌資訊


cat /var/log/messages ##檢視日誌是否同步


 
Linux系統日誌管理
在linux系統上面,系統可以記錄從開機到當前系統上面何時發生了哪些事情,並將其分類,分別寫到特定的日誌檔案當中,如系統自身產生的問題 使用者登入資訊,網路資料資訊等等,我們可以根據這些日誌資訊來解決系統方面的錯誤,網路服務問題等等 1.日誌 歷史事件 時間,地點,人物,事件 日誌級別 事件的關鍵性...


Linux 系統日誌管理
在 centos 6.x 中,日誌服務已經由 rsyslogd 取代了原先的 syslogd。red hat 公司認為 syslogd 已經不能滿足工作中的需求,rsyslogd 相比 syslogd 具有一些新的特點 rsyslogd 日誌服務更加先進,功能更多。但是,不論是該服務的使用,還是日誌...


linux系統管理(日誌)
var log message 系統啟動後的資訊和錯誤日誌,是red hat linux中最常用的日誌之一 var log secure 與安全相關的日誌資訊 var log maillog 與郵件相關的日誌資訊 var log cron 與定時任務相關的日誌資訊 var log spooler 與...