Linux系统日志 是记录了系统运行状态、程序运行情况以及系统事件的文件
它包含了各种级别的信息,从调试信息和错误报告到警告和系统事件等,Linux系统日志主要分为四个部分:内核日志、系统日志、安全日志和应用程序日志
| 系统日志级别 |
| debug | 一般的调试信息说明,调试程序产生的信息 |
| info | 普通信息,但是有一定的重要性,一般用来提供有用信息 |
| notice | 不是错误,但是可能需要处理 |
| warning | 警吿信息 |
| error | 一般错误消息 |
| crit | 危险情况,例如硬盘错误,可能会阻碍程序的部分功能 |
| alert | 需要立即修复,必须立即采取行动 |
| emerg | 紧急情况,系统不可用(例如系统崩溃) |
关于系统日志的设置:
日志管理命令:journalctl
| 选项 | 作用 |
|---|---|
| a | 完整显示所有字段内容 |
| f | 只显示最新的日志项 |
| r | 反转日志行的输出顺序 |
| q | 当以普通用户身份运行时, 不显示任何警告信息与提示信息 |
| k | 仅显示内核日志 |
| p | 根据日志等级过滤输出结果 |
| S | 显示晚于指定时间(--since=)的日志、显示早于指定时间(--until=)的日志 |
设置日志一周生成一次,配置文件位于/etc/logrotate.conf
将日志单独分离出(ssh)
1.ssh日志的位置 (/etc/var/secure),并将虚拟机防火墙关闭
systemctl stop firewalld
sentenforce 0
2.修改配置文件:/etc/ssh/sshd_config
将32行注释,在下一行配置
3.修改改配置文件:/etc/rsyslog.conf
4.刷新服务,查看opt下是否生成日志文件
刷新服务命令:systemctl restart rsyslog.service sshd
开启远程日志管理:
将多台服务器产生的日志,整合到一台单独管理日志的服务器上,便于管理日志
1.检查虚拟机是否安装 rsyslog工具
2.检测514端口是否打开,关闭防火墙
3.编辑配置文件,将tcp协议514端口打开(管理和被管理的服务器514端口都要打开)
4.打开被管理服务器的配置文件,在55行添加想要发送到的服务器地址(@@为tcp端口,@udp端口)我们打开的是tcp514,所以用@@
5.测试使用是否成功,虚拟机1向虚拟机2发送日志信息,查看虚拟机2是否能收到
