赞
踩
日志文件是记录系统运行状态、事件和活动的文件。在Linux系统中,各种应用程序和系统组件都会生成各种类型的日志文件,用于跟踪系统的运行情况、故障排查、性能分析等目的。有助于提高系统的稳定性、安全性和性能,以及快速解决问题和改进系统运行效率。
级别 | 日志等级 | 含义 |
---|---|---|
0 | EMERG(紧急) | 会导致主机系统不可用的情况 |
1 | ALERT(警告) | 必须马上采取措施解决的问题 |
2 | CRIT(严重) | 比较严重的情况 |
3 | ERROR(错误) | 运行出现错误 |
4 | WARNING(提醒) | 警告信息,表示可能出现问题,但不会影响系统正常运行 |
5 | NOTICE(注意) | 不会影响正常功能,但是需要注意的事件 |
6 | INFO(信息) | 提示性信息 |
7 | DEBUG(调试) | 程序或系统调试信息等 |
/var/log/ 目录下的文件和文件夹:
文件夹名 | 作用 |
---|---|
messages | 记录系统的重要事件和错误信息,内核信息、系统启动信息等 |
secure | 记录系统的安全相关信息,用户登录和认证信息,如ssh登录等 |
auth.log | 记录系统的安全相关信息,用户登录和认证信息(Debian/Ubuntu) |
syslog | 记录系统的所有日志信息,包括messages、secure和其他日志 |
dmesg | 记录系统的内核启动信息和硬件信息,用于排查系统启动问题 |
boot.log | 记录系统启动时的详细信息,包括各个服务的启动情况 |
cron | 记录系统定时任务的执行情况,如cron和anacron的任务日志 |
maillog | 记录邮件服务器的日志信息,包括邮件的发送和接收情况 |
httpd/ | 记录Apache Web服务器的访问日志和错误日志 |
nginx/ | 记录Nginx Web服务器的访问日志和错误日志 |
mysql/ | 记录MySQL数据库服务器的日志信息 |
postgresql/ | 记录PostgreSQL数据库服务器的日志信息 |
audit/ | 记录系统的审计日志,包括对文件和目录的访问、用户操作等 |
wtmp | 记录系统登录和注销的信息,包括登录时间、登录用户等 |
查;询用户的历史记录:
last:查询成功登录到系统的用户记录
[root@localhost log]#last
zhangsan :0 :0 Mon Sep 20 20:12 still logged in
root pts/0 192.168.91.1 Mon Sep 20 20:12 still logged in
root pts/0 192.168.91.1 Mon Sep 20 19:48 - 20:10 (00:22)
root pts/3 192.168.91.1 Mon Sep 20 13:09 still logged in
root pts/2 192.168.91.1 Tue Sep 14 17:42 - 15:09 (5+21:27)
lastb:查询登录失败的用户记录
[root@localhost log]#lastb
btmp begins Mon Sep 20 14:33:01 2021
Rsyslog(Remote System Logging)是一个强大的系统日志记录守护进程,它用于收集、处理和转发系统日志消息。它是Linux系统中的一种日志记录工具,负责管理系统和应用程序的日志,并将日志信息发送到指定的目标。
Rsyslog具有许多功能和配置选项,其中三个主要部分是:
MODULES:Rsyslog的模块部分定义了日志消息的输入、输出和处理方式。它允许你指定不同类型的输入模块(如文件、网络等),以及输出模块(如文件、远程服务器等)来处理和传递日志消息。
GLOBAL DIRECTIVES:全局指令部分包含了全局配置选项,影响Rsyslog的整体行为。这些选项包括设置默认日志级别、定义日志文件格式、设定日志文件路径等。
RULES:规则部分定义了日志消息的过滤、匹配和处理规则。你可以设置不同的规则来根据日志消息的内容、来源、优先级等条件进行筛选和处理,比如将某些特定日志消息保存到指定的日志文件,或者转发给其他远程服务器。
==配置文件路径:/etc/rsyslog.conf == ;通过编辑/etc/rsyslog.conf文件,你可以配置Rsyslog以满足你的日志记录需求,并确保系统日志能够被有效地收集、处理和存储。
在修改配置后,通常需要重新启动Rsyslog服务使更改生效。
#vim /etc/rsyslog.conf,添加local6 自定义配置规则。
#vim /etc/ssh/sshd_config,将默认规则注释,添加新的规则。
实时查看ssh.logs 文件
#systemctl restart sshd rsyslog.service (重启sshd和rsyslog服务),切换到二号机运城ssh登录一号机
日志自动更新
两个机器必须先关闭防火墙和selinux;安装rsyslog ;编辑rsyslog.conf 日志配置文件
日志服务器中rsyslog.conf :
二号机中rsyslog.conf:
两个@ 代表 tcp 协议 ; 一个@ 代表 udp 协议。
重启服务;查看 日志服务器 和二号机 的 tcp514端口是否打开
#tail -f /var/log/messages 实时查看公共日志
用二号机写入日志;查看日志服务器是否收到二号机的日志
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。