linux基礎學習（九）

                                ##系統日誌##

                                **1.系統日誌默認分類

/var/log/messages        ##系統服務及日誌，包括服務的信息，報錯等等

/var/log/secure          ##系統認證信息日誌

/var/log/maillog         ##系統郵件服務信息

/var/log/cron            ##系統定時任務信息

/var/log/boot.log        ##系統啓動信息

                                **2.日誌管理服務rsyslog

1.rsyslog負責採集日誌和分類存放日誌

2.rsyslog日誌分類

vim /etc/rsyslog.conf        ##主配置文件

服務.日誌級別                /存放文件

*.*                          /var/log/westos

systemctl restart rsyslog

##格式##

日誌設備（類型）.（鏈接符號）日誌級別    日誌處理方式（action)

##日誌設備（能夠理解爲日誌類型）：##

auth                ##pam產生的日誌

authpriv            ##ssh,ftp等登陸信息的驗證信息

cron                ##時間任務相關

kern                ##內核

lpr                 ##打印

mail                ##郵件

mark（syslog)-rsyslog    ##服務內部的信息，時間標識

news                ##新聞組

user                ##用戶程序產生的相關信息

uucp                ##unix to unix copy,unix主機之間相關的通信

local 1-7           ##自定義的日誌設備

##日誌級別##

debug                ##有調試信息的，日誌信息最多

info                 ##通常信息的日誌，最經常使用

notice               ##最具備重要性的普通條件的信息

warning              ##警告級別

err                  ##錯誤級別，阻止某個功能或模塊不能正常工做的信息

crit                 ##嚴重級別，阻止整個系統或整個軟件不能正常工做的信息

alert                ##須要當即修改的信息

emerg                ##內核崩潰等嚴重信息

none                 ##什麼都不記錄

##注意：從上到下，級別從低到高，記錄的信息愈來愈少

##詳細可查看手冊：man 3 syslog

##鏈接符號##

.xxx: 表示大於等於xxx級別的信息

.=xxx: 表示等於xxx級別的信息

.!xxx: 表示在xxx以外的等級的信息

##實例##

1.記錄到普通文件或設備文件：

*.*        /var/log/file.log        ##絕對路徑

*.*        /dev/pts/0

測試：logger -p local3.info 'KadeFor is testing the rsyslog and logger'  logger命令用於產生新的日誌

2.發送給用戶（須要在線才能收到）

*.*    root

*.*    root,kadefor,up01        ##使用逗號分隔多個用戶

*.*    *                        ## * 表示全部在線用戶

3.忽略，丟棄

local3.*    ~                   ##忽略全部local3類型的全部級別的信息

4.執行腳本

local3.*    ^/tmp/a.sh           ## ^ 後跟可執行腳本或程序的絕對路徑

                                 ##日誌內容能夠做爲腳本的第一個參數

                                 ##可用來觸發警報

##日誌同步##

systemctl stop firewalld                ##關閉兩臺主機的火牆

配置日誌發送方

*.*            @172.25.0.11             ##經過udp協議把日誌發送到11主機，@udp，@@tcp

配置日誌接收方

15    $Modload imudp                    ##日誌接收插件

16    $UDPServerRun 514                 ##日誌接收插件使用端口

netstaut -anulpe | grep rsyslog

> /var/log/messages                ##兩邊都作

logger test message                ##日誌發送方

tail -f /var/log/message           ##日誌接收方

##日誌採集格式##

$template 你這個格式的名字, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

$ActionfileDefaultTemplate 你這個格式的名字

*.info;mail.none;authpriv.none;cron.none        /var/log/messaages;你這個格式的名字

                                    ##日誌分析工具journal##

systemd-journald            ##進程名稱

journalctl                    ##直接執行，瀏覽系統日誌

-n 3                          ##顯示最新3條

-p err                        ##顯示報錯

-f                            ##監控日誌

--since --until               ##--since "[YYYY-MM-DD] [hh;mm;ss]"從什麼時間到什麼時間

-o verbose                    ##顯示日誌可以使用的詳細進程參數

                              ##_SYSTEMD_UNIT=sshd.service服務名稱

                              ##_PID=1182進程pid