一、日誌分類：

facility: 設施，從功能或程式上對日誌進行分類

auth, authpriv, cron, daemon, kern, lpr,mail, mark, news, security, user, uucp, local0-local7, syslog

其中，local0-local7為自定義facility

priority: 日誌級別(從低到高排序)

debug, info, notice, warn(warning),err(error), crit(critical), alert, emerg(panic)

*:代表所有級別

none:代表沒有級別，即不收集日誌

某一個priority：

=priority:只收集此priority的日誌資訊，不收集級別更高的日誌資訊

二、日誌收集規則：

facility.prioritytarget

target：

檔案路徑:將日誌記錄於指定的檔案中，通常在/var/log目錄下，檔案路徑前的‘-’表示非同步寫入

使用者： 將日誌溶質給指定使用者，*表示為所有使用者

日誌伺服器： 格式為@host，將日誌傳送給rsyslog伺服器

管道： 格式為| COMMAND ，使用命令來處理日誌

規則示例：

三、應用示例：

示例1

使用rsyslog收集本機的sshd日誌，並輸出到/var/log/sshd.log中

1.檢視sshd預設的日誌資訊

vim /etc/ssh/sshd_config

vim /etc/rsyslog.conf

tail /var/log/secure

2.修改sshd日誌存放路徑：

vim /etc/ssh/sshd_config

service sshd reload //過載配置

vim /etc/rsyslog.conf

service sshd restart//使用reload無效

效果：

示例二

192.168.1.102部署為rsyslog的伺服器，收集其他主機的日誌資訊

192.168.1.100主機名為node1,收集sshd日誌，傳送給rsyslog伺服器

192.168.1.103主機名為node2,收集sshd日誌，傳送給rsyslog伺服器

1.配置rsyslog伺服器

vim /etc/rsyslog.conf

service rsyslog restart//重啟服務

2.配置node1

hostname node1//配置主機名

vim /etc/ssh/sshd_config

service sshd reload//過載配置

vim /etc/rsyslog.conf

service rsyslog restart

3.配置node2

hostname node2

vim /etc/ssh/sshd_config

service sshd reload

vim /etc/rsyslog.conf

service rsyslog restart

效果：

tail /var/log/sshd.log //在rsyslog伺服器上檢視所有主機的sshd日誌資訊

四、系統登入相關的二進位制格式日誌：

/var/log/wtmp： 當前系統上成功登入的日誌，可以使用last檢視

ll /var/log/btmp：當前系統上登入失敗的日誌，可以使用lastb檢視

可使用lastlog檢視當前系統上的所有使用者最後一次登入的時間

轉載於:https://blog.51cto.com/362475097/1890072