Linux——日志管理

版权声明：&copy；2004 Microsoft Corporation. All rights reserved. https://blog.csdn.net/qq_42036824/article/details/83062457

一、系统日志

1. 系统日志：　进程和操作系统内核需要能够为发生的事件记录日志，这些日志可用于系统审核和时间的故障排除，一般这些日志永久存储于/var/log目录中
2. 系统默认日志的分类：
   /var/log/messages 　　服务信息日志，包括服务的信息，报错等等，大多数系统日志信息记录在此
   /var/log/secure 　　　　系统认证信息日至
   /var/log/cron 　　　　　定时任务日志
   /var/log/maillog 　　　　邮件服务日志
   /var/log/boot.log 　　　　系统启动日志

二、日志管理服务rsyslog

• rsyslog是一个开源工具，被广泛用于linux系统以通过TCP/UDP协议转发或接受日志消息
  UDP 　速度快，不需要应答
  TCP 　稳定，确认收到
• rsyslog 服务是用来采集系统日志的，不产生日志，只起到采集的作用， 对我们的日志进行管理
• rsyslog服务主配置文件是/etc/rsyslog.conf
  指定日志保存位置修改配置文件，修改后重启rsyslog服务生效
  
• systemctl status rsyslog.service 查看服务
  
• systemctl restart rsyslog.service 重启服务
  
  

1. 格式：
   日至的类型.日至的级别 /var/log/file（存放文件）
   
2. 日志的类型
   auth 　　　　　pam产生的日志
   authpriv 　　　ssh,ftp等登陆信息的验证信息
   cron 　　　　　时间任务相关
   kern 　　　　　内核
   lpr 　　　　　　打印
   mail 　　　　　邮件
   mark(syslog)-rsyslog 　　　服务内部的信息，时间标识
   news 　　　　　新闻组
   user 　　　　　　用户程序产生的相关信息
   uucp 　　　　　unix to unix copy，unix主机之间相关的通讯
   local 1~7 　　　　自定义的日志设备
3. 日志级别
   debug 　　　有调式信息的，日志信息最多
   info 　　　　一般信息的日志，最常用
   notice 　　　最具有重要性的普通条件的信息
   warning 　　　警告级别
   err 　　　　　错误级别，阻止某个功能或者模块不能正常工作的信息
   crit 　　　　　严重级别，阻止整个系统或者整个软件不能正常工作信息
   alert 　　　　需要立刻修改的信息
   emerg 　　　内核崩溃等严重信息
   none 　　　　什么都不记录
   注意：从上到下，级别从低到高，记录的信息越来越少
   详细的可以查看手册：man 3 syslog

三、远程日志的同步

此处的实验中：
主机：node1——>接收端
主机：node2——>发送端
（一）接收端：
（1）关闭火墙

（2）编辑日志配置文件vim /etc/rsyslog.conf


（3）重启rsyslog服务

（二）发送端：
（1）关闭火墙

（2） 编辑日志配置文件vim /etc/rsyslog.conf

（3）重启服务

注意：两台主机防火墙都要关闭，并且修改完文件后都要重启服务
（三）测试

• 先清空两个主机的/var/log/messages，为了方便查看实验效果
• 发送端新建一个日志并查看
  
  
• 接收端查看是否接收到日志信息（从截图可看接收成功）
  
  
  （四）清除/etc/rc.d/rc.local文件
  做实验的时候我们会发现有很多此类文件的生成，不方便实验的查看
  所以我们可以进行以下操作将相关文件清除掉：
  

四、采集文件

1. 采集日志格式的设定：vim　 /etc/rsyslog.conf
   
   
   2.重启服务（此步骤不要忘记）
   
   3.测试
   

五、日志分析

1. systemd-journald服务
   　　提供一种改进的日志管理服务，可以手机来自内核/启动服务，标准输出，系统日志及守护进程启动和运行期间错误的消息，它将这些消息写入到一个结构化事件日志中
2. journalctl 　　日志分析命令，按q退出
   注意：如果系统reboot则用journalctl查看的日志信息将不存在
   
   journalctl 　 -n　 5 显示最新5条的进程
   
   journalctl 　--since 09:20
   journalctl 　--since 09:20 --until 09:21:50 显示一个时间段的进程信息
   
   journalctl 　-p 　　err 　　　 显示系统报错
   
   journalctl 　 -f 　 　　　　监控日志 ctrl+c退出
   journalctl 　 -o 　verbose 　显示日志能够使用的详细进程参数
   
   journalctl 　_PID=1055　 _COMM=sshd
   
   
   
3. 用journalctl的方式采集日志
   　　默认情况下，systemd日志保存在/run/log/journal中，这意味着系统重启时会被清除，那如果将日志保存在/var/log/journal目录，这样做的优点是启动后就可以利用历史数据，形成永久日志
   实现步骤如下：