日志信息

一、系统日志服务

1、systemd-journald服务

• 是操作系统事件日志的架构的核心
• 收集来自包括内核，运行时的标准输出和错误输出，以及syslog事件等
• 保存在二进制的日志文件中，但是重启后不保存

2、rsyslog服务

• syslog消息进行排序，并写入日志文件中（/var/log/）
• rsyslog会根据类型和优先级，将日志消息写到特定的日志文件
• 重启后依然保存

3、系统日志服务

配置文件在 /etc/rsyslog.conf
系统日志文件保存在/var/log/下面，下面是一些重要的日志文件：

• /var/log/messages 大多数系统日志消息记录在此处，包括记录服务信息，系统报错信息等
• /var/log/secure 与安全性和身份验证相关的日志
• /var/log/cron 与定时任务执行相关的日志
• /var/log/maillog 与系统中邮件服务日志
• /var/log/boot.log 与系统启动相关日志

3、 配置文件里的描述

日志消息的类型（ facility ）
facility: 设施，从功能或程序上对日志进行分类；

常用的：

• lpr： 打印相关的日志
• auth：认证相关的日志
• user：用户相关的日志
• cron：计划任务相关的日志
• kern：内核相关的日志
• mail：邮件相关的日志
• daemon：系统服务相关的日志
• authpri: 授权相关的日志
• security:安全相关的日志
• local0-local7：自定义相关的日志信息（自定义时可以使用通配符

4、 日志消息的优先级

优先级	代码	严重性
none	无	不记录任何信息
emerg	0	内核崩溃等严重信息
alert	1	需要立刻修改的信息
crit	2	严重错误级别
err	3	错误界别
warning	4	警告级别
notice	5	具有重要性的普通条件的信息
info	6	一般信息的日志，最常用
debug	7	调试级别消息

5、 发送syslog日志

-i ：在每行都记录进程ID

-p：指定输入消息的优先级

[root@wfy -]# logger -i  -p mail.info "message info"

6、 检索系统日志消息

_PID：进程的PID
_UID：运行该进程的用户的ID
_SYSTEMD_UNIT：启动该进程的systemd单元
_COMM：指定命令的名称
_EXE：进程的可执行文件的路径

[root@wfy -]# journalctl SYSTEMD_UNIT=sshd.service

7、永久保存系统日志

系统日志保存在/run/log/journal目录中，但重启后日志被清除，可以在
/etc/systemd/journald.conf

修改systemd-journald服务的配置

Storage=

• persistent：将日志存储在/var/log/journal目录中，若该目录不存在，systemd-journald服务会创建它。

• volatile：将日志存储在易失性目录/run/log/journal中，临时保存。

• auto：如果/var/log/journal目录存在，那么rsyslog会使用持久存储，否则为易失性存储，此为默认参数