rsyslog基本應用
一、日誌分類:
facility: 設施,從功能或程式上對日誌進行分類
auth, authpriv, cron, daemon, kern, lpr,mail, mark, news, security, user, uucp, local0-local7, syslog
其中,local0-local7為自定義facility
priority: 日誌級別(從低到高排序)
debug, info, notice, warn(warning),err(error), crit(critical), alert, emerg(panic)
*:代表所有級別
none:代表沒有級別,即不收集日誌
某一個priority:
=priority:只收集此priority的日誌資訊,不收集級別更高的日誌資訊
二、日誌收集規則:
facility.prioritytarget
target:
檔案路徑:將日誌記錄於指定的檔案中,通常在/var/log目錄下,檔案路徑前的‘-’表示非同步寫入
使用者: 將日誌溶質給指定使用者,*表示為所有使用者
日誌伺服器: 格式為@host,將日誌傳送給rsyslog伺服器
管道: 格式為| COMMAND ,使用命令來處理日誌
規則示例:
三、應用示例:
示例1
使用rsyslog收集本機的sshd日誌,並輸出到/var/log/sshd.log中
1.檢視sshd預設的日誌資訊
vim /etc/ssh/sshd_config
vim /etc/rsyslog.conf
tail /var/log/secure
2.修改sshd日誌存放路徑:
vim /etc/ssh/sshd_config
service sshd reload //過載配置
vim /etc/rsyslog.conf
service sshd restart//使用reload無效
效果:
示例二
192.168.1.102部署為rsyslog的伺服器,收集其他主機的日誌資訊
192.168.1.100主機名為node1,收集sshd日誌,傳送給rsyslog伺服器
192.168.1.103主機名為node2,收集sshd日誌,傳送給rsyslog伺服器
1.配置rsyslog伺服器
vim /etc/rsyslog.conf
service rsyslog restart//重啟服務
2.配置node1
hostname node1//配置主機名
vim /etc/ssh/sshd_config
service sshd reload//過載配置
vim /etc/rsyslog.conf
service rsyslog restart
3.配置node2
hostname node2
vim /etc/ssh/sshd_config
service sshd reload
vim /etc/rsyslog.conf
service rsyslog restart
效果:
tail /var/log/sshd.log //在rsyslog伺服器上檢視所有主機的sshd日誌資訊
四、系統登入相關的二進位制格式日誌:
/var/log/wtmp: 當前系統上成功登入的日誌,可以使用last檢視
ll /var/log/btmp:當前系統上登入失敗的日誌,可以使用lastb檢視
可使用lastlog檢視當前系統上的所有使用者最後一次登入的時間
轉載於:https://blog.51cto.com/362475097/1890072