Linux中rsyslog与journal对系统日志进行管理

1. 系统日志在管理中的作用：
   系统日志具有审计与监测作用，通过对日志中相关信息的分析，可以检查系统发生错误的相关信息，实时进行监控。有效利用日志信息并会分析与监控管理，对维护系统安全性有重要作用。
2. 系统日志分类
   ###系统日志一般存放在/var/log/file下

/var/log/messages		###记录服务信息，系统报错信息等
/var/log/secure			###存放用户认证相关信息的日志
/var/log/cron			###	定时任务日志
/var/log/maillog		###系统中邮件服务日志
/var/log/boot.log		###系统启动相关日志

###查看系统日志文件的权限

###这里我们可以查看sshd服务日志。首先清空日志信息，方便查看，重启sshd服务，查看sshd产生的日志信息。在企业工作中不可以直接清空日志，可以先备份，然后清空

> /var/log/messages					###清空日志
systemctl restart sshd.service		###重启sshd服务
cat /var/log/messages				###查看日志

#####日志管理rsyslog服务
###rsyslog服务简介：rsyslog是一个日志管理系统，可通过UDP/TCP协议提供日志记录服务，并且对采集日志可以自定义格式输出
rsyslog主配置文件在 /etc/rsyslog.conf
辅助配置文件在/etc/rsyslog.d/*.conf
#####日志类型

auth 			###pam产生的日志
authpriv		###ssh, ftp等登录信息的验证信息
cron			###时间任务相关
kern			###内核
lpr				###打印
mail			###邮件
mark(syslog)-rsyslog	###服务内部的信息，时间标识
news			###新闻组
user			###用户程序产生相关信息
uucp			###Unix to Unix copy
local 1~7		###自定义的日志设备

###日志级别：

debug			###调试信息的日志最多
info			###一般信息的日志，最常用
notice			###最具有重要性的普通条件的信息
warning			###警告级别
err				###错误界别，阻止某功能或模块正常工作的信息
crit			###严重级别，阻止系统或整个软件正常工作的信息
alert			###需要立刻修改的信息
emerg			###内核崩溃等严重信息
none			###不记录任何信息

###注：从上到下，级别从低到高，记录信息越来越少

####远程同步日志####
###实验需两台虚拟机，一台作为接收端(172.25.254.127),发送端(172.25.254.227)
首先在接收端关闭防火墙

systemctl stop firewalld	

打开UDP/TCP接口，下面打开的是UDP

vim /etc/rsyslog.conf

重启服务systemctl restart rsyslog.service

在发送端配置文件添加接收端主机ip

vim /etc/rsyslog.conf

重启服务systemctl restart rsyslog.service
接收端测试：
首先清空接收端和发送端日志，方便实验结果观察
接收端动态监测查看发送过来的日志tail -f /var/log/messages
发送端连续发送

logger upper
logger happy
logger test

此时结果如下：

#####journal对日志管理
journal可以直接查看系统已经生成的日志。

journalctl 	###查看全部日志

journalctl -n 4  ###查看最新的四行日志

journalctl --since time	###查看从某时间开始的日志
journalctl --until time	###查看截止某个时间前的所有日志
journalctl --since time --until time	###查看时间段内的日志

journalctl -p err		###查看错误信息日志

journalctl -o verbose  ###查看日志详细信息

journalctl _PID=num _COMM=sshd  ###查看制定pid和命令日志信息

####journal对日志采集
journal可以直接查看当前系统中日志，但是当系统重启后，以前日志会消失，不便于对日志保存分析和管理。不过可以通过rsyslog提供的思路，将日志保存在文件中，方便管理。

mkdir /var/log/journal		###创建文件保存采集的日志
chgrp systemd-journal /var/log/journal/	###改变日志所有组
chmod g+s /var/log/journal/	###赋予用户组s权限，以后产生的所有日志文件都属于该组
kill -1 进程pid号	###重新加载配置文件

###查看采集的日志

两种方式查看日志，发现cat /var/log/journal/不能查看，有局限性；journal采集的日志,可以用journalctl查看