1 .rsyslog
此服務是用來採集系統日誌的,他不產生日誌,只是起到採集作用
2.rsyslog的管理
/var/log/messgaes ##服務信息日誌 /var/log/secure ##系統登陸日誌 /var/log/cron ##定時任務日誌 /var/log/maillog ##郵件日誌 /var/log/boot.log ##系統啓動日誌
指定日誌採集的路徑(在/etc/rsyslog.conf文件中設置)
什麼類型的日誌.什麼級別的日誌 /var/log/file ##自主設計日誌採集規則
(1)日誌類型的分類
auth ##pam產生的日誌 authpriv ##ssh,ftp等登陸信息的驗證信息 cron ##時間任務相關 kern ##內核 lpr ##打印 mail ##郵件 mark(syslog)-rsyslog ##服務內部的信息,時間標識 news ##新聞組 user ##用戶程序產生的相關信息 uucp ##unix to unix copy,unix主機之間相關的通訊 local 1~7 ##自定義的日誌設備
(2)日誌級別分爲:
debug ##有調試信息的(日誌信息最多) info ##一般信息的日誌,(最常用) notice ##最具有重要性的普通條件的信息 warning ##警告級別 err ##錯誤級別,阻止某個功能或者模塊不能正常工作的信息 crit ##嚴重級別,阻止整個系統或者整個軟件不能正常工作的信息 alert ##需要立即更改的信息 emerg ##內核崩潰等嚴重信息 none ##什麼都不記錄
注意:從上到下,級別從低到高,記錄的信息就越來越少
查看手冊查詢詳細信息:
man 3 syslog
3.日誌的遠程同步
在日誌發送方
vim /etc/rsyslog.conf 更改爲*.* @172.25.254.26 ##規定@@標示tcp協議發送,@表示udp協議發送 systemctl restart rsyslog ##重新開啓日誌服務並加載修改的配置信息
在日誌接受方
vim /etc/rsyslog.conf 15行改爲 $ModLoad imudp ##日誌接受模塊 16行改爲 $UDPServerRun 514 ##開啓接受端口 systemctl restart rsyslog ##重啓日誌服務 systemctl stop firewalld ##關閉防火牆 systemctl disable firewalld ##設定防火牆開機關閉
測試:
發送方先清除再測試查看
> /var/log/messages logger heihei ##日誌測試命令 cat /var/log/messages ##查看日誌已經生成
在接受方先清除再查看
> /var/log/messages cat /var/log/messages