1、日志
录了某件事情的:时间、地点、人物、事件等。
2、rsyslog的特性:centos6和7
1)、多线程 2)、UDP, TCP, SSL, TLS, RELP 3)、MySQL, PGSQL, Oracle实现日志存储 4)、强大的过滤器,可实现过滤记录日志信息中任意部分 5)、自定义输出格式
3、syslog程序
1、程序包:rsyslog
2、主程序:/usr/sbin/rsyslogd
3、CentOS 6:service rsyslog {start|stop|restart|status}
4、CentOS 7:/usr/lib/systemd/system/rsyslog.service
5、配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf
6、库文件: /lib64/rsyslog/*.so /usr/lib64/rsyslog/imptcp.so /usr/lib64/rsyslog/imtcp.so /usr/lib64/rsyslog/imudp.so 这个三个模块使用网络传输数据
7、配置文件格式:由三部分组成 MODULES:相关模块配置 GLOBAL DIRECTIVES:全局配置 RULES:日志记录相关的规则配置
4、syslog配置文件
vim /etc/rsyslog.conf
模块定义
# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark # provides --MARK-- message capability
定义是否通过网络发送数据 端口自定义
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
日志定义的格式
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg :omusrmsg:*
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
5、配置日志的格式
1、RULES配置格式
vim /etc/rsyslog.conf
local7.* /var/log/boot.log
local6.* @@192.168.25.17
2、facility设置
*: 所有的facility
facility1,facility2,facility3,...:指定的facility列表
3、priority级别设置
*: 所有级别
none:没有级别,即不记录
PRIORITY:指定级别(含)以上的所有级别
PRIORITY:仅记录指定级别的日志信息
4、target
文件路径:通常在/var/log/,文件路径前的-表示异步写入
用户:将日志事件通知给指定的用户,* 表示登录的所有用户
local6.* *(表示所有用户)root,xzcdc,xinye
日志服务器:@host,把日志送往至指定的远程服务器记录
local6.* @192.168.25.17远程主机上的rsyslog.conf的要写明存在的路径文件
管道: | COMMAND,转发给其它命令处理
5、启用网络日志服务
在/etc/rsyslog.conf配置文件中规定了UDP和TCP的设置
#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514
#需要启用谁就把前面的注释关掉即可
6、其他日志文件
/var/log/secure:系统安装日志,文本格式,应周期性分析
/var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看
/var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看
/var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命可以查看
/var/log/dmesg:系统引导过程中的日志信息,文本格式文本查看工具查看
/var/log/messages :系统中大部分的信息
/var/log/anaconda : anaconda的日志