日志文件介绍
日志的功能:
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
日志文件的分类:
-
内核及系统日志:
这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置,决定将内核消息及各种系统程序消息记录到什么位置。日志格式基本相似。
-
用户日志:
记录用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
-
程序日志:
有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息。记录格式不统一。
日志保存位置:
- 默认位于:/var/log 目录下
日志消息的级别:
| 级号 | 消息 | 级别 | 说明 |
|---|---|---|---|
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
rsyslog实验
将ssh服务日志单独存放
关闭服务端和客户端防火墙
修改rsyslog服务的配置文件/etc/rsyslog.conf
vim /etc/rsyslog.conf
修改ssh服务的配置文件/etc/ssh/sshd_config
vim /etc/ssh/sshd_config
重启 rsyslog 服务和 ssh 服务。
打开第二台机器,远程连接原服务器
查看原服务器的日志记录
配置日志服务器来收集日志
关闭服务端和客户端防火墙
发送方开启TCP功能和514端口(编辑rsyslog的配置文件 /etc/rsyslog.conf)
重启rsyslog服务检查514端口是否开启
接收方配置
[root@192 ~]# systemctl stop firewalld //关闭防火墙
[root@192 ~]# vim /etc/rsyslog.conf //编辑配置文件
------------------------
# Provides TCP syslog reception
$ModLoad imtcp //开启TCP功能
$InputTCPServerRun 514 //开启514端口
[root@192 ~]# systemctl restart rsyslog //重启日志服务
[root@192 ~]# ss -ntap | grep 514 //检查514端口是否开启
LISTEN 0 25 *:514 *:* users:(("rsyslogd",pid=17199,fd=3))
LISTEN 0 25 :::514 :::* users:(("rsyslogd",pid=17199,fd=4))
测试日志
