37.日志系统-日志管理服务rsyslogd

日志管理服务rsyslogd

CentOS 7.6日志服务是rsyslogd,CentOS 6.x日志服务是syslogd。rsyslogd功能更加强大。rsyslogd的使用、日志文件的格式,和syslogd服务兼容

  • 命令
    • ps aux | grep "rsyslog" | grep -v "grep" 【查询linux中的rsyslogd服务是否启动】
    • systemctl list-unit-files | grep rsyslog 【查询rsyslogd服务的自启动状态】
  • 配置文件:/etc/rsyslog.conf
    • 编辑文件时的格式为:*.* 存放日志文件
    • 其中第一个*代表日志类型,第二个*代表日志级别
    • 日志类型分为:
      • auth 【pam产生的日志】
      • authpriv 【ssh、ftp等登陆信息的验证】
      • corn 【时间任务相关】
      • kern 【内核】
      • lpr 【打印】
      • mail 【邮件】
      • mark(syslog)-rsyslog 【服务内部的信息,时间标识】
      • news 【新闻组】
      • user 【用户程序产生的相关信息】
      • uucp 【unix to nuix copy主机之间相关的通信】
      • local 1-7 【自定义的日志设备】
    • 日志级别分为:
      • debug 【有调试信息的,日志通信最多】
      • info 【一般信息日志,最常用】
      • notice 【具有重要性的普通条件信息】
      • warning 【警告级别】
      • err 【错误级别,阻止某个功能或模块不能正常工作的信息】
      • crit 【严重级别,阻止整个系统或者整个软件不能正常工作的信息】
      • alert 【需要立刻修改的信息】
      • emerg 【内核崩溃等重要信息】
      • none 【什么都不记录】
      • 注意:从上到下,级别从低到高,记录信息越来越少
  • 由日志服务rsyslogd记录的日志文件,日志文件的格式包含以下4列:
    • 事件产生的时间
    • 产生事件的服务器的主机名
    • 产生事件的服务名或程序名
    • 事件的具体信息
  • 案例:查看/var/log/secure日志,这个日志中记录的是用户验证和授权方面的信息,分析如何查看
Feb 26 22:11:28 hjl sshd[8541]: Server listening on 0.0.0.0 port 22.
Feb 26 22:11:28 hjl sshd[8541]: Server listening on :: port 22.
  • 案例:在/etc/rsyslog.conf中添加一个日志文件/var/log/mydemo.log,当有事件发送时(比如sshd服务相关事件),该文件会接受到信息并保存。并演示重启、登陆的情况,看看是否有日志保存
1.在/etc/rsyslog.conf文件中添加以下内容
# 增加自定义的日志
*.*                                                     /var/log/mydemo.log
-------------------------------------------------------
2.创建/var/log/mydemo.log
touch /var/log/mydemo.log
-------------------------------------------------------
3.内容如下/var/log/mydemo.log
......
Feb 26 22:24:34 hjl journal: unable to get EDID for xrandr-Virtual1: unable to get EDID for output
Feb 26 22:24:35 hjl systemd: Received SIGRTMIN+21 from PID 447 (plymouthd).
Feb 26 22:25:14 hjl sshd[9403]: Accepted password for root from 192.168.200.1 port 7291 ssh2
Feb 26 22:25:14 hjl systemd: Created slice User Slice of root.
Feb 26 22:25:14 hjl systemd-logind: New session 1 of user root.
Feb 26 22:25:14 hjl systemd: Started Session 1 of user root.
Feb 26 22:25:14 hjl sshd[9403]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 26 22:25:15 hjl dbus[7345]: [system] Activating service name='org.freedesktop.problems' (using servicehelper)
Feb 26 22:25:15 hjl dbus[7345]: [system] Successfully activated service 'org.freedesktop.problems'
......
posted @ 2021-05-22 00:20  haojinglei  阅读(904)  评论(0)    收藏  举报