系統日誌服務rsyslog
阿新 • • 發佈:2017-06-05
strong ssa 日誌 mark thp 守護 主機 日誌文件 通信
2、priority(級別):
debug、info、notice、warn(warning)、err(error)、crit(critical)藍色警告、alert橙色警報、emerg(panic崩潰前的信息)
3、制定級別:
*:所有級別
none:沒有級別,禁止記錄
priority:此級別及更高級別的日誌信息
=priority:此級別
facility.priority target(/var/log/messages)
三、程序環境
1、主程序:rsyslogd
2、配置文件:/etc/rsyslog.conf
3、自定義日級別
例如將sshd的日誌記錄到自定義的日誌中
修改sshd的配置文件
vim /etc/ssh/sshd_config
SyslogFacility local5
vim /etc/rsyslog.conf
local7.* /var/log/sshd.log
重啟sshd服務
systemctl restart sshd.service
systemctl restart rsyslog.service
登錄後即可看到登錄信息會記錄到/var/log/sshd.log
4、target
文件路徑:記錄與指定的日誌文件中,通常/var/log目錄下:文件路徑前的"-"表示異步寫入
*:所有用戶
日誌服務器:@host
host:必須要監聽在tcp或udp協議514端口(默認)上提供服務
管道:|COMMAND
mail.* -/var/log/maillog
-代表異步寫入
*.emerg :omusrmsg:*
*代表該主機上的所有用戶
5、文件記錄的日誌的格式:
事件產生的日期時間 主機 進程(pid):事件內容
有些日誌記錄二進制格式:/var/log/wtmp、/var/log/btmp
/var/log/wtmp:當前系統上成功登錄的日誌:使用last查看
/var/log/btmp:當前系統上失敗的登錄嘗試:使用lastb查看
lastlog命令:顯示當前系統上每一個用戶最近登錄服務器時間
一、系統日誌服務
rsyslog:多線程,可以基於UDP、TCP、TLS協議進行遠程通信,還可以將數據存儲到MySQL、PGSQL、Oracle,強大的過濾器,可實現過濾日誌信息中任何部分,可以自定義輸出格式。
rsyslog有兩個守護進程進程;syslogd:記錄系統日誌(用戶空間的用戶進程),klogd:記錄內核日誌。
二、日誌收集時的分類:
1、facility(設施,從功能或程序上對日誌進行分類):facility是系統內置
auth(認證相關)、authpriv(認證授權相關)、cron、daemon、kerl、lpr(打印系統)、mail、mark(標記相關)、news、security(安全相關)、user、uucp(unix to unix copy)、local0-local7、syslog
2、priority(級別):
debug、info、notice、warn(warning)、err(error)、crit(critical)藍色警告、alert橙色警報、emerg(panic崩潰前的信息)
3、制定級別:
*:所有級別
none:沒有級別,禁止記錄
priority:此級別及更高級別的日誌信息
=priority:此級別
facility.priority target(/var/log/messages)
三、程序環境
1、主程序:rsyslogd
2、配置文件:/etc/rsyslog.conf
3、自定義日級別
例如將sshd的日誌記錄到自定義的日誌中
修改sshd的配置文件
vim /etc/ssh/sshd_config
SyslogFacility local5
vim /etc/rsyslog.conf
local7.* /var/log/sshd.log
重啟sshd服務
systemctl restart sshd.service
systemctl restart rsyslog.service
登錄後即可看到登錄信息會記錄到/var/log/sshd.log
4、target
文件路徑:記錄與指定的日誌文件中,通常/var/log目錄下:文件路徑前的"-"表示異步寫入
*:所有用戶
日誌服務器:@host
host:必須要監聽在tcp或udp協議514端口(默認)上提供服務
管道:|COMMAND
mail.* -/var/log/maillog
-代表異步寫入
*.emerg :omusrmsg:*
*代表該主機上的所有用戶
5、文件記錄的日誌的格式:
事件產生的日期時間 主機 進程(pid):事件內容
有些日誌記錄二進制格式:/var/log/wtmp、/var/log/btmp
/var/log/wtmp:當前系統上成功登錄的日誌:使用last查看
/var/log/btmp:當前系統上失敗的登錄嘗試:使用lastb查看
lastlog命令:顯示當前系統上每一個用戶最近登錄服務器時間
系統日誌服務rsyslog