系統日誌管理

1 .rsyslog
此服務是用來採集系統日誌的，他不產生日誌，只是起到採集作用
2.rsyslog的管理

/var/log/messgaes	##服務信息日誌
/var/log/secure		##系統登陸日誌
/var/log/cron		##定時任務日誌
/var/log/maillog	##郵件日誌
/var/log/boot.log	##系統啓動日誌

指定日誌採集的路徑（在/etc/rsyslog.conf文件中設置）

什麼類型的日誌.什麼級別的日誌	/var/log/file	##自主設計日誌採集規則

(1)日誌類型的分類

auth					##pam產生的日誌
authpriv				##ssh，ftp等登陸信息的驗證信息
cron					##時間任務相關
kern					##內核
lpr						##打印
mail					##郵件
mark（syslog）-rsyslog	##服務內部的信息，時間標識
news					##新聞組
user					##用戶程序產生的相關信息
uucp					##unix to unix copy，unix主機之間相關的通訊
local 1～7				##自定義的日誌設備

(2)日誌級別分爲：

debug			##有調試信息的（日誌信息最多）
info			##一般信息的日誌，（最常用）
notice			##最具有重要性的普通條件的信息
warning			##警告級別
err				##錯誤級別，阻止某個功能或者模塊不能正常工作的信息
crit			##嚴重級別，阻止整個系統或者整個軟件不能正常工作的信息
alert			##需要立即更改的信息
emerg			##內核崩潰等嚴重信息
none			##什麼都不記錄

注意：從上到下，級別從低到高，記錄的信息就越來越少
查看手冊查詢詳細信息：
man 3 syslog

3.日誌的遠程同步

在日誌發送方

vim /etc/rsyslog.conf
更改爲*.*	      @172.25.254.26	##規定@@標示tcp協議發送，@表示udp協議發送
systemctl restart rsyslog			##重新開啓日誌服務並加載修改的配置信息

在日誌接受方

vim /etc/rsyslog.conf

15行改爲  $ModLoad imudp			##日誌接受模塊
16行改爲  $UDPServerRun 514		##開啓接受端口

systemctl restart rsyslog		##重啓日誌服務
systemctl stop firewalld		##關閉防火牆
systemctl disable firewalld		##設定防火牆開機關閉

測試：
發送方先清除再測試查看

> /var/log/messages

logger heihei				##日誌測試命令

cat   /var/log/messages		##查看日誌已經生成

在接受方先清除再查看

> /var/log/messages
cat   /var/log/messages