rsyslog日志管理:
/var/log/messages 服务信息日志
/var/log/secure 系统登陆日志
/var/log/cron 定时任务日志
/var/log/maillog 邮件日志
/var/log/boot.log 系统启动日志
日志类型:
auth ##pam产生的日志
authpriv ##ssh,ftp等登陆信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)-rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy ,unix主机之间的通讯
local 1~7 ##自定义的日志设备
日志级别:
debug ##有调试信息的,日志信息最多
info ##一般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作
crit ##严重级别,阻止整个系统或者整个软件不能正常工作
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
##注意:从上到下,级别从低到高,记录的信息越来越少。
##信息的日志信息可以man产看:man 3 syslog
目的:把系统中所有日志采集到/var/log/rizhi文件中
步骤:
vim /etc/rsyslog.conf ###【编辑日志配置文件】
*.* /var/log/rizhi ###【更改日志收集的目录】
systemctl restart rsyslog ###【重起日志服务】
测试 :
systemctl restart sshd ###【重起服务,此命令目的为了生成日志】
cat /var/log/rizhi ###【查看此文件中出现的日志信息】
1.编辑日志配置文件,更改日志收集到的目录。
2.重起rsyslog日志服务和sshd服务,cat检测更改结果:
定向采集完成。
发送方:
vim /etc/rsyslog.conf` ###【编辑日志设定】
*.* @接受方ip` ###“@”表示udp协议发送,“@@”表示tcp协议发送
systemctl restart rsyslog` ###【重起rsyslog日志服务】
> /var/log/messages` ###【>重定向输出,清空原日志文件内容】
> cat /var/log/messages` ###【查看确认日志已经清空】
接收方:
【编辑日志设定】 vim /etc/rsyslog.conf
【日志接受模块】15行左右,将“#”去掉。$ModLoad imudp
【开启接受端口】16行左右,将“#”去掉。$UDPServerRun 514
【重起rsyslog服务】 systemctl restart rsyslog
【关闭火墙】 systemctl stop firewalld
【设定火墙开机关闭不开启】systemctl disable firewalld
【清空 /etc/rc.d/rc.local 】 > /etc/rc.d/rc.local
【重起接收方】 reboot
【>重定向输出,清空原日志文件内容】 > /var/log/messages
【查看确认日志已经清空】cat /var/log/messages
测试
在发送方:logger test ###生成日志
在接收方:cat /var/log/messages ###查看日志是否生成
图示:
1.发送方:
2.接收方:
reboot:
3.测试
成功!
大大的小小阳