|
|
rsyslog特性:CentOS6和7
1,多线程
2,支持UDP, TCP, SSL, TLS, RELP MySQL, PGSQL, 3,Oracle实现日志存储 4,强大的过滤器,可实现过滤记录日志信息中任意部分
5,自定义输出格式
6,ELK:elasticsearch, logstash, kibana
7,非关系型分布式数据库
8,基于apache软件基金会jakarta项目组的项目lucene
9,Elasticsearch是个开源分布式搜索引擎
10,Logstash对日志进行收集、分析,并将其存储供以后使用
11,kibana 可以提供的日志分析友好的 Web 界面
术语,参见man logger
facility:设施,从功能或程序上对日志进行归类
"auth:"验证类日志
"authpriv:"验证和特权授权类日志
"cron:"计划任务类日志
"daemon:"守护进程类日志
"ftp:"ftp服务日志
"kern:"内核日志
"lpr:" 打印类日志
"mail:"邮件日志
"news:" 新闻组类日志
"security(auth):"安全日志
"user:" 用户类日志
"uucp:"
"local0-local7:" 自定义类日志最多可以有8个 (0-7)
"syslog:" 专门的系统日志
Priority 优先级别,从低到高排序
术语,参见man logger
"debug:" 发生任何事情都会计入日志
"info:" 计入相对比较重要的事件日志,但是不一定是错误事件
"notice:"计入重要的通知,以上的日志
"warn(warning):" 计入警告级别以上的日志
"err(error):" 计入错误以上的日志
"crit(critical):" 计入严重错误以上的日志
"alert:" 计入更严重的错误以上的日志
"emerg(panic):" 计入彻底崩溃的日志
参看帮助: man 3
syslog
程序包:rsyslog
主程序:/usr/sbin/rsyslogd
CentOS 6:service rsyslog {start|stop|restart|status}
CentOS 7:/usr/lib/systemd/system/rsyslog.service
配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf
库文件: /lib64/rsyslog/*.so
配置文件格式:
由三部分组成
"MODULES:"相关模块配置
"GLOBAL:DIRECTIVES:"全局配置
"RULES:"日志记录相关的规则配置
/etc/rsyslog.conf 配置文件格式
RULES配置格式: "facility.priority;" facility.priority… target
例子:
"*.info;mail.none;authpriv.none;cron.none /var/log/messages" #"计入所有的设施,info级别以上,但是排除邮件,验证和特权授权类日志,以及计划任务类别的日志计入"
mail.* -/var/log/maillog #"邮件日志,异步写入"
local7.* /var/log/boot.log #"当前这次系统开机所加载服务的信息"
local0.* wang,root #"当发生的是local0设施类型的任意级别日志就发给root,wang用户"
"测试命令:
logger -p local0.info "The it a st1 text log"" #"注意:这种方式只有正常登入在会起作用"
"facility:" *: 所有的facility
facility1,facility2,facility3,...:指定的facility列表
priority:
*: 所有级别
none:没有级别,即不记录
PRIORITY:指定级别(含)以上的所有级别
=PRIORITY:仅记录指定级别的日志信息
target:
"文件路径:"通常在/var/log/,文件路径前的-表示异步写入
"用户:"将日志事件通知给指定的用户,* 表示登录的所有用户
"日志服务器:"@host,把日志送往至指定的远程服务器记录
"管道:" | COMMAND,转发给其它命令处理
日志文件类型
/var/log/secure:系统安装日志,文本格式,应周期性分析
"/var/log/btmp:"当前系统上,用户的失败尝试登录相关的日 志信息,二进制格式,"lastb"命令进行查看
## 例如:
[root@centos6 ~]# lastb
root ssh:notty 192.168.136.7 Fri Feb 9 05:20 - 05:20 (00:00)
root ssh:notty 192.168.136.7 Fri Feb 9 05:20 - 05:20 (00:00)
root ssh:notty 192.168.136.7 Fri Feb 9 05:20 - 05:20 (00:00)
"/var/log/wtmp:"当前系统上,用户正常登录系统的相关日志 信息,二进制格式,"last"命令可以查看
## 例如:
[root@centos6 ~]# last
root pts/1 192.168.136.1 Fri Feb 9 03:34 still logged in
root pts/0 192.168.136.1 Fri Feb 9 02:23 still logged in
root pts/1 192.168.136.1 Fri Feb 9 00:20 - 02:50 (02:29)
root pts/0 192.168.136.1 Thu Feb 8 20:00 - 02:19 (06:18)
reboot system boot 2.6.32-696.el6.x Thu Feb 8 18:26 - 05:17 (10:51)
root pts/1 192.168.136.1 Thu Feb 8 12:07 - crash (06:19)
root pts/0 192.168.136.1 Thu Feb 8 10:56 - crash (07:30)
reboot system boot 2.6.32-696.el6.x Thu Feb 8 10:41 - 05:17 (18:36)
reboot system boot 2.6.32-696.el6.x Fri Jan 26 19:13 - 05:17 (13+10:04)
root pts/1 :0.0 Thu Jan 25 21:10 - 05:28 (08:17)
"/var/log/lastlog:"每一个用户最近一次的登录信息,二进制格 式,
lastlog命令可以查看
例如:
[root@centos6 ~]# lastlog
Username Port From Latest
root pts/1 192.168.136.1 Fri Feb 9 03:34:36 +0800 2018
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
zhao tty1 Tue Nov 7 18:56:30 +0800 2017
/var/log/dmesg:系统引导过程中的日志信息,文本格式 文本查看工具查看
专用命令dmesg查看
/var/log/messages :系统中大部分的信息
/var/log/anaconda : anaconda的日志
例子:
[root@centos7 ~]# ls /var/log/anaconda/
anaconda.log ks-script-6XLbwh.log program.log X.log
ifcfg.log ks-script-wB_yhq.log storage.log
journal.log packaging.log syslog |
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2018-4-19 15:34:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡