linux系统日志及日志服务器

Rsyslog

一、Linux日志基础

以centos6为例来讲日志

1、配置日志服务的脚步是

Rpm -ql rsyslog
Vim /etc/rsyslog.conf 配置脚步
/etc/rc.d/init.d/rsyslog restart 启动服务脚本
Service rsyslog restart  sys风格的脚本
Tail  /var/log/messages, secure, 查看最近系统记录的日志信息，安全
Tail  /var/log/httpd/accecpt_log 查看最近网页日志记录

日志的监听端口是514（tcp、udp）

2、日志：记录的内容

历史事件按时间序列将发生的事件予以记录日志记录：事件发生的时间，事件内容；日志级别：事件的关键性程度，log level

3、Linux: 哪些进程需要记录日志？

早期系统上日志是由syslog和syslogd来完成日志记录centos5syslog: 日志系统syslogd: 系统进程的相关日志klogd: 内核事件相关的日志Rsyslog  优点rsyslog: centos6、7的日志服务，支持多线程TCP,SSL,TLS,RELP  支持的传输协议MySQL, PGSQL, Oracle等多种关系型数据中强大的过滤器，可实现过滤系统信息中的任意部分自定义输出格式适用于企业级别日志记录需求

4、对rsyslog.conf的讲解

facility: 设施，从功能或程序上对日志进行分类，并由专门的工具负责记录其日志Auth    认证机制Authpriv  加密受限制的Cron     计划任务Daemon   守护进程日志Kernel 内核日志lprMail  邮件Mark  对iptables 标记News 新消息Security  安全日志Syslog  日志系统User 用户日志Uucp uucp 定义日志级别日志local0 through local7: 8 customed facility 指定设施时可以使用通配符：*: 所有f1,f2,f3,...: 列表!: 取反5、日志级别priority: 级别Debug  错误的Info 基本信息日志Notice 需要留意的日志warn, warning 发起警报的日志err, error 错误警报日志Crit 蓝色警报日志Alert 红色警报日志emerg, panic  橙色警报日志，*别的，达到这个级别的日志，如果不及时处理的话，服务器可能就会挂啦通配符：*: 所有级别none: 没有任何级别Target: 处理动作文件路径：例如/var/log/messages用户: *日志服务器：@SERVER_IP管道：| COMMAND例如 @192.168.1.1  传输的是tcp@@ 192.168.1.1 传输的是udp不过建议真正配置远程日志服务器的时候最好两个都开起来

6、日志信息

rsyslog的主配置文件：/etc/rsyslog.conf，其定义格式facility.priority Target  优先处理的日志mail.info  /var/log/maillog# 比指定级别更高的所有级别，包括指定的级别本身；mail.=info    /var/log/maillog  日志级别=info的日志 放在 。。。。。# 明确指定级别；mail.!info   *   日志级别不是info的所有级别# 除了指定级别*.info        | COMMAND# 所有facility的info级别mail.*:# mail的所有级别mail,news.info:

二、远程日志服务器制作

设置好ip地址

Vmware1 192.168.1.146 远程日志服务器

Vmware2 192.168.1.143 主机

Vmware1

1、安装服务器

启动接受数据模块 vim /etc/rsyslog.conf