日志

#############1.系統日志預設分類

/var/log/messages##系統服務及日志，包括服務的資訊，報錯等等

/var/log/secure##系統認證資訊日志

/var/log/maillog##系統郵件服務資訊

/var/log/cron##系統定時任務資訊

/var/log/boot.log##系統啟動資訊

###########2.日志管理服務rsyslog

1.rsyslog負責采集日志和分類存放日志

2.rsyslog日志分類

vim /etc/rsyslog.conf##主配置檔案

服務.日志級别/存放檔案

*.*/var/log/westos

systemctl restart rsyslog

###格式###

日志裝置(類型).(連接配接符号)日志級别   日志處理方式(action)

####日志裝置(可以了解為日志類型):####

auth        ##pam産生的日志

authpriv    ##ssh,ftp等登入資訊的驗證資訊

cron        ##時間任務相關

kern        ##核心

lpr         ##列印

mail        ##郵件

mark(syslog)–rsyslog##服務内部的資訊,時間辨別

news        ##新聞討論區

user        ##使用者程式産生的相關資訊

uucp        ##unix to unix copy, unix主機之間相關的通訊

local 1~7   ##自定義的日志裝置

####日志級别####

———————————————————————-

debug       ##有調式資訊的，日志資訊最多

info        ##般資訊的日志，最常用

notice      ##最具有重要性的普通條件的資訊

warning     ##警告級别

err         ##錯誤級别，阻止某個功能或者子產品不能正常工作的資訊

crit        ##嚴重級别，阻止整個系統或者整個軟體不能正常工作的資訊

alert       ##需要立刻修改的資訊

emerg       ##核心崩潰等嚴重資訊

none        ##什麼都不記錄

##注意：從上到下，級别從低到高，記錄的資訊越來越少

##詳細的可以檢視手冊: man 3 syslog

####連接配接符号####

.xxx: 表示大于等于xxx級别的資訊

.=xxx：表示等于xxx級别的資訊

.!xxx：表示在xxx之外的等級的資訊

#####執行個體####

1. 記錄到普通檔案或裝置檔案::

*.*     /var/log/file.log   # 絕對路徑

*.*     /dev/pts/0

測試: logger -p local3.info ‘KadeFor is testing the rsyslog and logger ‘   logger 指令用于産生日志

2. 發送給使用者(需要線上才能收到)

*.*   root

*.*   root,kadefor,up01     # 使用,号分隔多個使用者

*.*   *         # *号表示所有線上使用者

3. 忽略,丢棄

local3.*   ~        # 忽略所有local3類型的所有級别的日志

4. 執行腳本::

local3.*    ^/tmp/a.sh       # ^号後跟可執行腳本或程式的絕對路徑

             # 日志内容可以作為腳本的第一個參數.

             #  可用來觸發報警

#########3.日志同步

（1）systemctl stop firewalld ##關閉兩台主機的火牆

（2）在日志接收方

vim /etc/rsyslog.conf

$ModLoad imudp###加載日志接收功能子產品

$UDPServerRun 514###加載日志接收接口

systemctl restart rsyslog.service

（3）在日志發送方

*.*@日志接收方ip##*(所有服務).*(所有級别)

(4)測試

>  /var/log/messages##兩邊都作

date                ##日志發送方

tail -f /var/log/message##日志接收方

#########4.日志采集格式

$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated%

%FROMHOST-IP%

%syslogtag%

%msg%

\n

$ActionfileDefaultTemplate WESTOS

*.info;mail.none;authpriv.none;cron.none                /var/log/messages;<<WESTOS>>

####5.日志分析工具journal#####

systemd-journald##程序名稱

journalctl##直接執行，浏覽系統日志

-n 3##顯示最新3條

-p err##顯示報錯

-f##監控日志

--since --until## --since "[YYYY-MM-DD] [hh:mm:ss]" 從什麼時間到什麼時間的日志

-o verbose##顯示日志能夠使用的詳細程序參數

##_SYSTEMD_UNIT=sshd.service服務名稱

##_PID=1182程序pid

對systemd-journald管理

##預設情況下此程式會忽略重新開機前的日志資訊，如不忽略：

mkdir /var/log/journal

chown root:systemd-journal /var/log/journal

chmod 2755 /var/log/journal

killall -1 systemd-journald

ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

system.journal user-1000.journal