日志管理

一、日志管理

終端顔色：白色（普通檔案）、紅色（壓縮檔案）、綠色（執行權限）、藍色（目錄）

日志：一個檔案，記錄目前系統、使用者、程式的工作狀态

位置

系統、使用者、RPM（YUM程式）：/var/log/目錄下

源碼程式：安裝目錄下，log目錄

anaconda（響應程式，用于運作圖形化安裝向導），安裝過程産生日志/var/log/anaconda.*

快捷鍵：Ctrl+Alt+F3（檢視安裝過程中網絡情況）、Ctrl+Alt+F4（檢視安裝過程中核心情況）、Ctrl+Alt+F5（檢視安裝過程中的詳細安裝情況）、Ctrl+Alt+F6（回到安裝向導）

日志檔案分類

二進制日志檔案：不能支援檢視，隻能通過特有指令調用日志檔案檢視

普通日志檔案：可直接檢視、如cat、tail -f等

1.常見系統日志

/var/log/anaconda.* //記錄系統安裝系統中相關運作情況

/var/log/audit/ //記錄audit（審計）情況

/var/log/boot.log //記錄啟動過程中的核心情況

/var/log/btmp //記錄所有使用者登陸失敗的資訊（該日志檔案不能直接檢視）

/var/log/ConsoleKit/ //記錄終端相關情況

/var/log/cron //記錄crontab計劃任務情況

/var/log/dmesg //記錄引導過程中相關硬體工作情況

/var/log/dracut.log //記錄initramfs（小型Linux系統）狀态

/var/log/lastlog //記錄使用者登陸資訊

/var/log/maillog //記錄郵件情況

/var/log/messages //記錄核心、系統、程式等綜合性情況

/var/log/ntpstats/ //記錄ntp時間同步資訊

/var/log/prelink/ //記錄prelink程式工作情況（預連結工具）

/var/log/wtmp //記錄所有使用者登陸成功的資訊

/var/log/sa/ //記錄sar（性能統計工具，分析性能）情況

/var/log/secure //記錄hu安全認證情況（PAM認證）、一般記錄密碼情況

/var/log/spooler //儲存特殊檔案的情況，并隻記錄crit級别日志

/var/log/tallylog //記錄pam認證相關内容

/var/log/yum.log //記錄yum安裝情況

2.wtmp、btmp、lastlog日志檔案檢視

lastlog //檢視所有登陸成功的資訊（讀取/var/log/wtmp）

lastlogb //檢視所有登陸失敗的資訊（讀取/var/log/btmp）

w或who //檢視目前已登陸使用者資訊（讀取/var/log/lastlog）

3.日志格式

1）

Jun 25 10:16:53 xueluo abrtd: Init complete, entering main loop

發生時間 主機名 程式名:事件

2）

08:33:24,071 INFO : Copying anaconda logs

發生時間 日志級别/程式名:事件

4.日志級别

0（EMERG）緊急：系統不可用

1（ALERT）警告：必須馬上采取措施

2（CRIT）嚴重：比較嚴重的錯誤

3（ERR）錯誤：軟體運作出現錯誤

4（WARNING）提醒：可能影響系統功能，給出使用者提醒

5（NOTICE）注意：不會影響系統功能，給出使用者提醒

6（INFO）資訊：一般資訊

7（DEBUG）調試：程式或系統調試資訊

注：一般程式記錄日志級别為3、4、6、7比較常見

二、遠端日志管理

部署服務端

1.關閉防火牆和selinux

1)/etc/init.d/iptables stop //清空防火牆規則

2)setenforce 0 //臨時允許Selinux

2.開啟rsyslog服務的514号端口

vim /etc/rsyslog.conf

:set nu(顯示行号)

$ModLoad imudp //13行，删除#

$UDPServerRun 514 //14行，删除#

$ModLoad imtcp //17行，删除#

$InputTCPServerRun 514 //18行，删除#

3.編寫配置檔案

1)grep fromhost -r /usr/share/doc/rsyslog*

2)vim /etc/rsyslog.d/remote.conf

:fromhost-ip,isequal, "192.168.12.41" /var/log/remote-1.log

:fromhost-ip,isequal, "192.168.12.41" ~ ## 添加~後用戶端的資訊隻儲存在上面的檔案中

:fromhost-ip,isequal, "192.168.12.42" /var/log/remote-2.log

:fromhost-ip,isequal, "192.168.12.42" ~

3)/etc/init.d/rsyslog restart

4)netstat -utpln |grep 514

部署用戶端-1

1)/etc/init.d/iptables stop //清空防火牆規則

2.編輯配置檔案

1)vim /etc/rsyslog.conf ##注釋定義存到本地日志檔案的行(34-61) :34,63s/^/#/g

. @@(o)192.168.12.40:514 ##79行,,兩個@是走TCP（o）是為後面的端口号用

2)/etc/init.d/rsyslog restart

部署用戶端-2

1)vim /etc/rsyslog.conf ##注釋定義存到本地日志檔案的行(34-61) :34,63s/^/#/g（如不注釋則本地遠端各存一個日志資訊）

驗證

用戶端-1：logger "123" //去服務端(tail -f /var/log/remote-1.log)

用戶端-2：logger "123" //去服務端(tail -f /var/log/remote-2.log)