Linux系统日志以及日志同步设置

1.系统日志默认分类

日志监控可以使用命令
tail -f /var/log/logname

/var/log/messages   ##系统服务及日志，包括服务的信息，报错等等/var/log/secure     ##系统认证信息日志/var/log/maillog    ##系统邮件服务信息/var/log/cron       ##系统定时任务信息/var/log/boot.log   ##系统启动信息

2.日志管理服务rsyslog

rsyslog服务负责采集日志和分类存放日志（不产生日志，只做日志的采集分类工）

rsyslog日志分类配置

vim /etc/rsyslog.conf   ##主配置文件#服务.日志级别        /存放文件*.*         /var/log/halo#表示将所有服务的所有级别日志保存到/var/log/halo

注意：修改服务配置后要重新加载配置或者重启

systemctl restart rsyslog

3.格式

日志设备(类型).(连接符号)日志级别   日志处理方式(action)####日志设备(可以理解为日志类型):####auth                ##pam产生的日志authpriv            ##ssh,ftp等登录信息的验证信息cron                ##时间任务相关kern                ##内核lpr                 ##打印mail                ##邮件mark(syslog)–rsyslog    ##服务内部的信息,时间标识news                ##新闻组user                ##用户程序产生的相关信息uucp                ##unix to unix copy, unix主机之间相关的通讯local 1~7          ##自定义的日志设备####日志级别####———————————————————————-debug               ##有调式信息的，日志信息最多info                ##般信息的日志，最常用notice              ##最具有重要性的普通条件的信息warning             ##警告级别err                 ##错误级别，阻止某个功能或者模块不能正常工作的信息crit                ##严重级别，阻止整个系统或者整个软件不能正常工作的信息alert               ##需要立刻修改的信息emerg               ##内核崩溃等严重信息none                ##什么都不记录##注意：从上到下，级别从低到高，记录的信息越来越少##详细的可以查看手册: man 3 syslog####连接符号####———————————————————————-.xxx: 表示大于等于xxx级别的信息.=xxx：表示等于xxx级别的信息.!xxx：表示在xxx之外的等级的信息

4.日志同步

各工作机日志同步到日志服务器的设置

1.配置发送方的日志服务vim /etc/rsyslog.conf#添加以下内容*.* @10.1.1.216#表示将所有类型的日志信息通过UDP协议发给ip位10.1.1.216的主机2.配置接受方的日志服务首先设置接受方式以及端口,去掉下面两行的注释

然后关闭接受方的防火墙或者让此服务通过防火墙的过滤systemctl stop firewalld#查看日志服务器接受端口是否开启netstat -anulpe | grep rsyslogudp        0      0 0.0.0.0:514             0.0.0.0:*                           0          122073     32654/rsyslogd      udp6       0      0 :::514     最后重启rsyslogsystemctl restart rsyslog客户机重启sshd服务产生日志，日志服务器接受同步日志，标白部分为从客户机同步过来的日志记录