设为首页 收藏本站
查看: 1074|回复: 0

[经验分享] centos的rsyslog服务介绍

[复制链接]

尚未签到

发表于 2019-2-16 12:43:42 | 显示全部楼层 |阅读模式
日志文件


  • 日志:历史事件的相关记录
  • 记录的内容:事件发生的事件、事件内容
  • 日志级别:事件的关联程序,loglevel

linux常见日志


  • 注意:日志文件可以查看到很多系统重要的事件,包括登录者的信息,因此日志文件的权限通常设置为仅有root能够读。
  • /var/log/dmesg:记录系统在开机的时候内核监测过程产生的各项信息。
  • /var/log/lastlog:记录系统上面所有的账号最近一次登录系统时的相关信息。该文件文件类型为DBase 3 data file,通过lastlog命令查看。
  • /var/log/messages:几乎系统发生的错误信息或者重要信息都会记录在这个文件中,如果系统发生莫名的错误时,这个文件一定要查阅的日志文件之一。
  • /var/log/secure:只要涉及到需要输入账号密码的软件,当登录时不管正确或错误都会记录,login、su、sudo、ssh、telnet等等
  • /var/log/wtmp: 记录正确登录系统的账户信息。通过last命令查看。
  • /var/log/btmp: 记录错误登录时使用的账户信息。通过lastb命令查看。

rsyslog是记录日志文件的服务,特性:


  • 多线程工作
  • 支持UDP、TCP、SSL、TLS、RELP
  • 支持将日志存储到MySQL、PGSQL、Oracle等多种关系数据库中
  • 强大的过滤器,可以实现过滤系统信息中的任何部分
  • 自定义输出格式
  • 适用于企业级别日志记录需求

核心概念:


  • facility: 设施,从功能或程序上对日志进行分类,并由专门工具负责记录相应的日志信息;

    • auth,authpriv:认证相关设施
    • cron:定时任务
    • daemon:守护进程
    • kern:内核日志设施
    • lpr:打印设施
    • mail:邮件设施
    • mark:防火墙日志设施
    • news:新闻组日志
    • security:安全日志设施
    • syslog:本身日志设施
    • user:用户的日志设施
    • uucp:unix copy相关日志设施
    • local0 - local7:用户自定义使用的日志设施

  • priority: 级别

    • debug:调试级别
    • info:基本信息
    • notice:除了info的信息,还需要注意的信息
    • warn,warning:警示信息,可能有问题,基本不会造成系统运行困扰
    • err,error:重大错误信息,例如 引起服务无法启动的信息
    • crit:比err严重的信息。crit是临界点critical的缩写。
    • alert:警告信息,比crit严重
    • emerg,panic: 系统或应用程序马上就要挂啦

      • 指定级别的方式:

        • *:所有级别
        • none:没有级别
        • priority:比次级别高的(包含)所有级别的日志信息都会记录
        • =priority:仅记录指定级别



  •   rsyslog的配置文件:/etc/rsyslog.conf

    • RULLS规则:

      • facility(服务设施).priority(级别)       target(位置)

    • target:

      • 文件路径:将日志记录于指定的文件中
      • 用户:将日志信息通知给文件或者用 * 代表通知给所有用户
      • 日志服务器: @SERVER  server表示日志服务器
      • 管道: | COMMAND

    • cron.*      /var/log/cron


  • 日志文件的格式:

    • 事件产生的时间       主机      进程(PID):        事件
    • Apr 15 17:35:50 www sshd[20839]: Failed password for root from 223.71.85.6 port 3135 ssh2

  • 模块

    • 启用本机成为日志服务器
      #Provides UDP syslog reception
      #$ModLoad imudp
      #$UDPServerRun 514
      或者
      #Provides TCP syslog reception
      #$ModLoad imtcp
      #$InputTCPServerRun 514
    • 日志存储到mysql中

      • 有可用的mysql服务器
      • 安装rsyslog-mysql程序包

        • 安装包中包含创建数据库的脚本 /usr/share/doc/rsyslog-mysql-VERSION/

      • 创建rsyslog依赖的数据库
      • 配置rsyslog启用ommysql模块
        ####  MODULES ####
        $ModLoad ommysql
      • 定义某facility把日志记录到指定数据的表中
        #### RULES ####
        facility.priority     :ommysql:SERVER_IP,DATABASE,USERNAME,PASSWORD
      • 可选:使用loganalyzer(WebGUI)来展示日志信息 php程序

        • 依赖LAMP组件

          • yum install httpd php php-mysql php-gd``
          • 下载loganalyzer








运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-673173-1-1.html 上篇帖子: 安装 ClamAV 对 CentOS 系统进行病毒查杀 下篇帖子: centos7搭建ngrok
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表