LINUX学习笔记（八）

（一）系统日志默认分类

/var/log/messages  系统服务及日志，包括服务的信息，报错等。

/var/log/secure   系统认证信息日志

/var/log/maillog   系统邮件服务信息

/var/log/cron   系统定时任务信息

/var/log/boot.log    系统启动信息

（二）日志级别：

debug  有调试信息的，日志信息最多

info       一般信息的日志，最常用

notice   最具有重要性的普通条件的信息

warning  警告级别

err          错误级别，阻止某个功能或者模块不能正常工作的信息

crit          严重级别，阻止整个系统或者整个软件不能正常工作的信息

alert        需要立刻修改的信息

emerg     内核崩溃等严重信息

none       什么都不记录

注：由上到下，级别从低到高，记录的信息越来越少

（三）连接符号

.xxxx: 表示大于等于xxxx级别的信息

.=xxxx:表示等于xxxx级别的信息

.!xxxx:表示在xxxx之外的等级的信息

（四）日志同步：

日志管理服务rsyslog，其配置文件为/etc/rsyslog.conf ，在该文件里设置相关选项。

发送端具体操作：

首先关闭防火墙，然后更改配置文件如下：

表示将该台主机的日志信息发送到172.25150.24主机，保存退出后，重启服务，然后通过“> /var/log/messages”命令清空之前信息。

接收端具体操作：

也是首先关闭防火墙，然后更改配置文件如下：

上图中，$ModLoad imudp为日志接收插件；$UDPServerRun  514为日志接收插件使用端口。将这两行的#号去掉：

保存退出，然后重启服务，最后一条为监控命令，监控日志同步信息。

（四）日志分析工具journal

journalctl   -n   3 显示最新三条信息：

journalctl   -p  err  显示报错信息：

journalctl  -f   监控日志：

journalctl   --since "xxxx"  --until "yyyy"  表示显示从xxxx到yyyy的日志信息：