Linux中如何通过rsyslog与journal结合实现对系统日志的全面管理?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1034个文字,预计阅读时间需要5分钟。
系统日志在管理中的重要作用+系统日志具有审计与监控作用+通过分析日志中相关信息可以检查系统发生错误的有关信息+实时进行监控。有效利用日志信息+系统日志在管理中的功能+系统
系统日志在管理中的作用 系统日志具有审计与监测作用通过对日志中相关信息的分析可以检查系统发生错误的相关信息实时进行监控。有效利用日志信息/var/log/messages###记录服务信息系统报错信息等/var/log/secure###存放用户认证相关信息的日志/var/log/cron###定时任务日志/var/log/maillog###系统中邮件服务日志/var/log/boot.log###系统启动相关日志
###查看系统日志文件的权限 ###这里我们可以查看sshd服务日志。首先清空日志信息方便查看重启sshd服务查看sshd产生的日志信息。在企业工作中不可以直接清空日志可以先备份然后清空
> /var/log/messages###清空日志systemctl restart sshd.service###重启sshd服务cat /var/log/messages###查看日志
#####日志管理rsyslog服务 ###rsyslog服务简介rsyslog是一个日志管理系统可通过UDP/TCP协议提供日志记录服务并且对采集日志可以自定义格式输出 rsyslog主配置文件在 /etc/rsyslog.conf 辅助配置文件在/etc/rsyslog.d/*.conf #####日志类型
auth ###pam产生的日志authpriv###ssh, ftp等登录信息的验证信息cron###时间任务相关kern###内核lpr###打印mail###邮件mark(syslog)-rsyslog###服务内部的信息时间标识news###新闻组user###用户程序产生相关信息uucp###Unix to Unix copylocal 1~7###自定义的日志设备
###日志级别
debug###调试信息的日志最多info###一般信息的日志最常用notice###最具有重要性的普通条件的信息warning###警告级别err###错误界别阻止某功能或模块正常工作的信息crit###严重级别阻止系统或整个软件正常工作的信息alert###需要立刻修改的信息emerg###内核崩溃等严重信息none###不记录任何信息
###注从上到下级别从低到高记录信息越来越少
####远程同步日志#### ###实验需两台虚拟机一台作为接收端(172.25.254.127),发送端(172.25.254.227) 首先在接收端关闭防火墙
systemctl stop firewalld
打开UDP/TCP接口下面打开的是UDP
vim /etc/rsyslog.conf
重启服务systemctl restart rsyslog.service
在发送端配置文件添加接收端主机ip
vim /etc/rsyslog.conf
重启服务systemctl restart rsyslog.service 接收端测试 首先清空接收端和发送端日志方便实验结果观察 接收端动态监测查看发送过来的日志tail -f /var/log/messages 发送端连续发送
logger upperlogger happylogger test
此时结果如下
#####journal对日志管理 journal可以直接查看系统已经生成的日志。
journalctl ###查看全部日志
journalctl -n 4 ###查看最新的四行日志
journalctl --since time###查看从某时间开始的日志journalctl --until time###查看截止某个时间前的所有日志journalctl --since time --until time###查看时间段内的日志
journalctl -p err###查看错误信息日志
journalctl -o verbose ###查看日志详细信息
journalctl _PIDnum _COMMsshd ###查看制定pid和命令日志信息
####journal对日志采集 journal可以直接查看当前系统中日志但是当系统重启后以前日志会消失不便于对日志保存分析和管理。不过可以通过rsyslog提供的思路将日志保存在文件中方便管理。
mkdir /var/log/journal###创建文件保存采集的日志chgrp systemd-journal /var/log/journal/###改变日志所有组chmod gs /var/log/journal/###赋予用户组s权限以后产生的所有日志文件都属于该组kill -1 进程pid号###重新加载配置文件
###查看采集的日志 两种方式查看日志发现cat /var/log/journal/不能查看有局限性journal采集的日志,可以用journalctl查看
本文共计1034个文字,预计阅读时间需要5分钟。
系统日志在管理中的重要作用+系统日志具有审计与监控作用+通过分析日志中相关信息可以检查系统发生错误的有关信息+实时进行监控。有效利用日志信息+系统日志在管理中的功能+系统
系统日志在管理中的作用 系统日志具有审计与监测作用通过对日志中相关信息的分析可以检查系统发生错误的相关信息实时进行监控。有效利用日志信息/var/log/messages###记录服务信息系统报错信息等/var/log/secure###存放用户认证相关信息的日志/var/log/cron###定时任务日志/var/log/maillog###系统中邮件服务日志/var/log/boot.log###系统启动相关日志
###查看系统日志文件的权限 ###这里我们可以查看sshd服务日志。首先清空日志信息方便查看重启sshd服务查看sshd产生的日志信息。在企业工作中不可以直接清空日志可以先备份然后清空
> /var/log/messages###清空日志systemctl restart sshd.service###重启sshd服务cat /var/log/messages###查看日志
#####日志管理rsyslog服务 ###rsyslog服务简介rsyslog是一个日志管理系统可通过UDP/TCP协议提供日志记录服务并且对采集日志可以自定义格式输出 rsyslog主配置文件在 /etc/rsyslog.conf 辅助配置文件在/etc/rsyslog.d/*.conf #####日志类型
auth ###pam产生的日志authpriv###ssh, ftp等登录信息的验证信息cron###时间任务相关kern###内核lpr###打印mail###邮件mark(syslog)-rsyslog###服务内部的信息时间标识news###新闻组user###用户程序产生相关信息uucp###Unix to Unix copylocal 1~7###自定义的日志设备
###日志级别
debug###调试信息的日志最多info###一般信息的日志最常用notice###最具有重要性的普通条件的信息warning###警告级别err###错误界别阻止某功能或模块正常工作的信息crit###严重级别阻止系统或整个软件正常工作的信息alert###需要立刻修改的信息emerg###内核崩溃等严重信息none###不记录任何信息
###注从上到下级别从低到高记录信息越来越少
####远程同步日志#### ###实验需两台虚拟机一台作为接收端(172.25.254.127),发送端(172.25.254.227) 首先在接收端关闭防火墙
systemctl stop firewalld
打开UDP/TCP接口下面打开的是UDP
vim /etc/rsyslog.conf
重启服务systemctl restart rsyslog.service
在发送端配置文件添加接收端主机ip
vim /etc/rsyslog.conf
重启服务systemctl restart rsyslog.service 接收端测试 首先清空接收端和发送端日志方便实验结果观察 接收端动态监测查看发送过来的日志tail -f /var/log/messages 发送端连续发送
logger upperlogger happylogger test
此时结果如下
#####journal对日志管理 journal可以直接查看系统已经生成的日志。
journalctl ###查看全部日志
journalctl -n 4 ###查看最新的四行日志
journalctl --since time###查看从某时间开始的日志journalctl --until time###查看截止某个时间前的所有日志journalctl --since time --until time###查看时间段内的日志
journalctl -p err###查看错误信息日志
journalctl -o verbose ###查看日志详细信息
journalctl _PIDnum _COMMsshd ###查看制定pid和命令日志信息
####journal对日志采集 journal可以直接查看当前系统中日志但是当系统重启后以前日志会消失不便于对日志保存分析和管理。不过可以通过rsyslog提供的思路将日志保存在文件中方便管理。
mkdir /var/log/journal###创建文件保存采集的日志chgrp systemd-journal /var/log/journal/###改变日志所有组chmod gs /var/log/journal/###赋予用户组s权限以后产生的所有日志文件都属于该组kill -1 进程pid号###重新加载配置文件
###查看采集的日志 两种方式查看日志发现cat /var/log/journal/不能查看有局限性journal采集的日志,可以用journalctl查看