1.系統日誌預設分類

日誌監控可以使用命令
tail -f /var/log/logname

/var/log/messages   ##系統服務及日誌，包括服務的資訊，報錯等等
/var/log/secure     ##系統認證資訊日誌
/var/log/maillog    ##系統郵件服務資訊
/var/log/cron       ##系統定時任務資訊
/var/log/boot.log   ##系統啟動資訊

2.日誌管理服務rsyslog

rsyslog服務負責採集日誌和分類存放日誌（不產生日誌，只做日誌的採集分類工）

rsyslog日誌分類配置

vim /etc/rsyslog.conf   ##主配置檔案
#服務.日誌級別        /存放檔案
*.*         /var/log/halo
#表示將所有服務的所有級別日誌儲存到/var/log/halo
 

注意：修改服務配置後要重新載入配置或者重啟

systemctl restart rsyslog

3.格式

日誌裝置(型別).(連線符號)日誌級別   日誌處理方式(action)

####日誌裝置(可以理解為日誌型別):####
auth                ##pam產生的日誌
authpriv            ##ssh,ftp等登入資訊的驗證資訊
cron                ##時間任務相關
kern                ##核心
lpr                 ##列印
mail                ##郵件
mark(syslog)–rsyslog    ##服務內部的資訊,時間標識
news                ##新聞組
user                ##使用者程式產生的相關資訊
uucp                ##unix to unix copy, unix主機之間相關的通訊
local 1~7          ##自定義的日誌裝置

####日誌級別####
———————————————————————-
debug               ##有調式資訊的，日誌資訊最多
info                ##般資訊的日誌，最常用
notice              ##最具有重要性的普通條件的資訊
warning             ##警告級別
err                 ##錯誤級別，阻止某個功能或者模組不能正常工作的資訊
crit                ##嚴重級別，阻止整個系統或者整個軟體不能正常工作的資訊
alert               ##需要立刻修改的資訊
emerg               ##核心崩潰等嚴重資訊
none                ##什麼都不記錄

##注意：從上到下，級別從低到高，記錄的資訊越來越少
##詳細的可以檢視手冊: man 3 syslog

####連線符號####
———————————————————————-
.xxx: 表示大於等於xxx級別的資訊
.=xxx：表示等於xxx級別的資訊
.!xxx：表示在xxx之外的等級的資訊
 

4.日誌同步

各工作機日誌同步到日誌伺服器的設定

1.配置傳送方的日誌服務
vim /etc/rsyslog.conf
#新增以下內容
*.* @10.1.1.216
#表示將所有型別的日誌資訊通過UDP協議發給ip位10.1.1.216的主機

2.配置接受方的日誌服務

首先設定接受方式以及埠,去掉下面兩行的註釋

然後關閉接受方的防火牆或者讓此服務通過防火牆的過濾
systemctl stop firewalld

#檢視日誌伺服器接受埠是否開啟
netstat -anulpe | grep rsyslog
udp        0      0 0.0.0.0:514             0.0.0.0:*                           0          122073     32654/rsyslogd      
udp6       0      0 :::514     

最後重啟rsyslog
systemctl restart rsyslog

客戶機重啟sshd服務產生日誌，日誌伺服器接受同步日誌，標白部分為從客戶機同步過來的日誌記錄