一、日志分类：

facility: 设施，从功能或程序上对日志进行分类

auth, authpriv, cron, daemon, kern, lpr,mail, mark, news, security, user, uucp, local0-local7, syslog

其中，local0-local7为自定义facility

 

priority: 日志级别(从低到高排序)

debug, info, notice, warn(warning),err(error), crit(critical), alert, emerg(panic)

 

*:代表所有级别

none:代表没有级别，即不收集日志

某一个priority：代表该priority以及比该priority级别高的日志信息

=priority:只收集此priority的日志信息，不收集级别更高的日志信息

 

 

二、日志收集规则：

facility.priority target

 

target：

文件路径:将日志记录于指定的文件中，通常在/var/log目录下，文件路径前的‘-’表示异步写入

用户： 将日志溶质给指定用户，*表示为所有用户

日志服务器： 格式为@host，将日志发送给rsyslog服务器

管道： 格式为| COMMAND ，使用命令来处理日志

 

规则示例：

 

 

 

三、应用示例：

示例1

使用rsyslog收集本机的sshd日志，并输出到/var/log/sshd.log中

 

1.    查看sshd默认的日志信息

vim /etc/ssh/sshd_config

 

vim /etc/rsyslog.conf

 

tail /var/log/secure

 

2.    修改sshd日志存放路径：

vim /etc/ssh/sshd_config

service sshd reload         //重载配置

 

vim /etc/rsyslog.conf

 

service sshd restart    //使用reload无效

 

效果：

 

 

示例二

192.168.1.102部署为rsyslog的服务器，收集其他主机的日志信息

192.168.1.100主机名为node1,收集sshd日志，发送给rsyslog服务器

192.168.1.103主机名为node2,收集sshd日志，发送给rsyslog服务器

 

1.    配置rsyslog服务器

vim /etc/rsyslog.conf

 

service rsyslog restart   //重启服务

 

 

2.    配置node1

hostname node1       //配置主机名

 

vim /etc/ssh/sshd_config

service sshd reload    //重载配置

 

vim /etc/rsyslog.conf

 

service rsyslog restart

 

 

3.    配置node2

hostname node2

 

vim /etc/ssh/sshd_config

 

service sshd reload

 

vim /etc/rsyslog.conf

 

service rsyslog restart

 

效果：

tail /var/log/sshd.log      //在rsyslog服务器上查看所有主机的sshd日志信息

 

 

四、系统登录相关的二进制格式日志：

/var/log/wtmp： 当前系统上成功登录的日志，可以使用last查看

 

ll /var/log/btmp：当前系统上登录失败的日志，可以使用lastb查看

 

可使用lastlog查看当前系统上的所有用户最后一次登录的时间