linux系統日誌管理

時間  2019-11-06 標籤 linux 系統 日誌 管理

linux日誌是很是重要的,不只在平常操做中能夠迅速排錯,也能夠快速的定位
日誌保存的位置默認日誌位於/var/log目錄下
系統經常使用的日誌linux

/var/log/messages ---> 服務信息日誌
內核及公共信息日誌,是許多進程日誌文件的彙總
linux系統日誌管理vim

/var/log/secure ---> 系統登錄日誌ssh

記錄用戶和工做組的狀況、用戶登錄認證狀況
linux系統日誌管理
/var/log/cron ---> 定時任務日誌
記錄一次性、週期性定時任務
linux系統日誌管理tcp

/var/log/maillog ---> 郵件日誌
記錄郵件的收發
linux系統日誌管理
/var/log/boot.log ---> 系統啓動日誌
該文件記錄了系統在引導過程當中發生的事件
linux系統日誌管理
實驗具體操做
/var/log/messages默認有日誌,關閉日誌採集功能,清空日誌,開啓日誌服務功能,產生日誌
linux系統日誌管理ide

rsyslog 日誌管理服務
此服務是隻是用來採集系統日誌的,不產生日誌
配置文件 ---> /etc/rsyslog.conf (日誌採集規則在此設置)
指定日誌採集路徑,什麼類型的日誌.什麼級別的日誌 工具

vim編輯 /etc/rsyslog.conf配置文件,添加日誌路徑/var/log/test文件爲日誌採集文件
linux系統日誌管理linux系統日誌管理
查看/var/log/test倒數2行,新增日誌
linux系統日誌管理
*.* ---- 存放日誌文件
第一個*表明日誌類型,第二個*表明日誌級別
日誌類型分爲:
auth ---> pam產生的日誌
authpriv ---> ssh,ftp等登陸信息的驗證信息
cron ---> 時間任務相關
kern ---> 內核
lpr ---> 打印
mail ---> 郵件
mark(syslog)–rsyslog ---> 服務內部的信息,時間標識
news ---> 新聞組
user ---> 用戶程序產生的相關信息
uucp ---> unix to unix copy, unix主機之間相關的通信
local 1~7 ---> 自定義的日誌設備測試

日誌級別分爲:
debug ---> 有調式信息的,日誌信息最多
info ---> 般信息的日誌,最經常使用
notice ---> 最具備重要性的普通條件的信息
warning ---> 警告級別
err ---> 錯誤級別,阻止某個功能或者模塊不能正常工做的信息
crit ---> 嚴重級別,阻止整個系統或者整個軟件不能正常工做的信息
alert ---> 須要馬上修改的信息
emerg ---> 內核崩潰等嚴重信息
none ---> 什麼都不記錄debug

注:從上到下,級別從低到高,記錄的信息愈來愈少
詳細查看手冊 ---> man 3 syslog
linux系統日誌管理linux系統日誌管理
日誌的遠程同步3d

在日誌發送方:
vim編輯 /etc/rsyslog.conf配置文件unix

linux系統日誌管理
書寫格式. @172.25.254.200

linux系統日誌管理
注 ---> "@"表示udp協議發送,"@@"表示tcp協議發送
重啓日誌採集服務
linux系統日誌管理
清空日誌並查看日誌倒數2行,日誌寫入測試
linux系統日誌管理

在日誌接收方:
vim編輯 /etc/rsyslog.conf配置文件
取消註釋15和16行內容
15 $ModLoad imudp ---> 日誌接收模塊
16 $UDPServerRun 514 ---> 開啓接收端口
linux系統日誌管理
linux系統日誌管理
systemctl restart rsyslog ---> 重啓日誌採集服務
systemctl stop firewalld ---> 關閉火牆
systemctl disable firewalld ---> 設定火牆開機關閉
linux系統日誌管理
清空日誌文件,查看日誌已經生成
linux系統日誌管理

日誌採集格式的設置
$ActionFileDefaultTemplate ---> 全局引用命名的格式
$template TEST ---> 日誌格式命名
%timegenerated% ---> 顯示日誌時間
%FROMHOST-IP% ---> 顯示主機ip
%syslogtag% ---> 日誌記錄目標
%msg% ---> 日誌內容
\n ---> 換行
vim編輯 /etc/rsyslog.conf配置文件,更改日誌採集格式

linux系統日誌管理linux系統日誌管理
重啓日誌採集服務,清空日誌並查看日誌倒數2行,日誌寫入測試,查看日誌倒數2行,產生新日誌格式
linux系統日誌管理linux系統日誌管理

journalctl ---> 日誌查看工具
linux系統日誌管理linux系統日誌管理
注 ---> journalctl是查看內存中日誌,不存儲
-n 3 ---> 查看最近2條日誌
linux系統日誌管理
-p err ---> 查看錯誤日誌
linux系統日誌管理
-o verbose ---> 查看日誌的詳細參數
linux系統日誌管理linux系統日誌管理

journalctl ---> 查看時間段內的日誌
--since ---> 查看從什麼時間開始的日誌
--until ---> 查看到什麼時間爲止的日誌
查看 2019-07-20 9:50:11到 2019-07-20 10:50:11 的日誌
linux系統日誌管理

使用systemd-journald保存系統日誌
默認systemd-journald是不保存系統日誌到硬盤的
那麼關機後再次開機只能看到本次開機以後的日誌
上以次關機以前的日誌是沒法查看的
建立日誌目錄/var/log/journal並賦予systemd-journal屬組及sgid 強制位,查看目錄詳細屬性
用kill信號1加載systemd-journal服務,查看目錄屬性,生成日誌功能
linux系統日誌管理
再次開機後全部上次關機前的日誌也會保存在硬盤中,查看日誌已經生成
linux系統日誌管理

联系我们 沪ICP备2021010478号-7