rsyslog日志基础介绍

 1、日志

录了某件事情的:时间、地点、人物、事件等。

2、rsyslog的特性:centos6和7

1)、多线程 2)、UDP, TCP, SSL, TLS, RELP 3)、MySQL, PGSQL, Oracle实现日志存储 4)、强大的过滤器,可实现过滤记录日志信息中任意部分 5)、自定义输出格式

3、syslog程序

1、程序包:rsyslog

2、主程序:/usr/sbin/rsyslogd

3、CentOS 6:service rsyslog {start|stop|restart|status}

4、CentOS 7:/usr/lib/systemd/system/rsyslog.service

5、配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf

6、库文件: /lib64/rsyslog/*.so /usr/lib64/rsyslog/imptcp.so /usr/lib64/rsyslog/imtcp.so /usr/lib64/rsyslog/imudp.so 这个三个模块使用网络传输数据

7、配置文件格式:由三部分组成 ​MODULES:相关模块配置 ​GLOBAL DIRECTIVES:全局配置 ​RULES:日志记录相关的规则配置

 4、syslog配置文件

vim  /etc/rsyslog.conf 

模块定义
# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark  # provides --MARK-- message capability

定义是否通过网络发送数据 端口自定义
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514


日志定义的格式 
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

5、配置日志的格式

1、RULES配置格式

vim /etc/rsyslog.conf
local7.*                  /var/log/boot.log
local6.*				  @@192.168.25.17

2、facility设置

*: 所有的facility
facility1,facility2,facility3,...:指定的facility列表

3、priority级别设置

*: 所有级别
none:没有级别,即不记录
PRIORITY:指定级别(含)以上的所有级别
PRIORITY:仅记录指定级别的日志信息

4、target

文件路径:通常在/var/log/,文件路径前的-表示异步写入
用户:将日志事件通知给指定的用户,* 表示登录的所有用户
local6.*				  *(表示所有用户)root,xzcdc,xinye 
日志服务器:@host,把日志送往至指定的远程服务器记录
local6.*				  @192.168.25.17远程主机上的rsyslog.conf的要写明存在的路径文件
管道: | COMMAND,转发给其它命令处理

5、启用网络日志服务

在/etc/rsyslog.conf配置文件中规定了UDP和TCP的设置
#$ModLoad imudp
#$UDPServerRun 514



#$ModLoad imtcp
#$InputTCPServerRun 514

#需要启用谁就把前面的注释关掉即可

6、其他日志文件

/var/log/secure:系统安装日志,文本格式,应周期性分析

/var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看

/var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看

/var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命可以查看

/var/log/dmesg:系统引导过程中的日志信息,文本格式文本查看工具查看

/var/log/messages :系统中大部分的信息

/var/log/anaconda : anaconda的日志

 

上一篇:ActiveMQ问题分析和解决


下一篇:OpenSSL Error messages