日志服务管理

一、日志介绍

1、日志文件

linux的日志文件可以说是最有用的了,日志文件可以让我们了解系统所处的状态,比如能查出哪些用户有登入,这也涉及相关的安全问题。如果我们不懂得分析日志,可能我们都不知道有些用户曾经登入过我们的系统。另外系统出了什么问题,我们也要查看系统日志。

2、日志文件所处的位置

日志文件所处的位置都在/var/log目录下,前提是您没有对日志配置文件/etc/syslog.conf进行过特别的配制。

3、日志记录的内容包括:

  • 历史事件:时间,地点,人物,事件
  • 日志级别:事件的关键性程度,Loglevel

二、系统日志服务

1、sysklogd 系统日志服务

在CentOS 5 之前的版本,采用的是 sysklogd 日志管理系统服务,syslogd用于记录应用日志,klogd用于记录内核日志。但是,CentOS 5 以及之前版本的系统,已经快要随着时代的发展而退出舞台了。

2、rsyslog 系统日志服务

2.1、概念

rsyslog是一个C/S架构的服务,可监听于某套接字,帮其它主机记录日志信息,在linux系统中可以分类两个日志:

klogd:kernel,记录内核相关的日志

syslogd:service,记录应用程序的日志

2.2、优点

rsyslog是CentOS 6以后的系统使用的日志系统,与之前的syslog日志系统相比,具有以下优点:

支持多线程

支持TCP、SSL、TLS、RELP等协议

强大的过滤器,可实现过滤日志信息中的任意部分

支持自定义输出格式

适用于企业级别日志记录需求

模块化

2.3、日志登记

消息等级号级别说明
EMERG 0 紧急 会导致主机系统不可用的情况
ALERT 1 警告 必须马上采取解决措施的问题
CRIT 2 严重 比较严重的情况
ERR 3 错误 运行出现错误,一般达到ERR等级的信息已经可以影响到服务成系统的运行了
WARNING 4 提醒 可能会影响系统功能的事件
NOTICE 5 注意 不会影响系统但需要注意
INFO 6 信息 一般信息
DEBUG 7 调试 程序或系统调试信息等

2.4、服务名称

服务名称说明
auth(LOG_AUTH) 安全和认证相关消息 (不推荐使用authpriv替代)
authpriv(LOG_AUTHPRIV) 安全和认证相关消息(私有的)
cron (LOG_CRON) 系统定时任务cront和at产生的日志
daemon (LOG_DAEMON) 与各个守护进程相关的曰志
ftp (LOG_FTP) ftp守护进程产生的曰志
kern(LOG_KERN) 内核产生的曰志(不是用户进程产生的)
Iocal0-local7 (LOG_LOCAL 0-7) 为本地使用预留的服务
lpr (LOG_LPR) 打印产生的日志
mail (LOG_MAIL) 邮件收发信息
news (LOG_NEWS) 与新闻服务器相关的日志
syslog (LOG_SYSLOG) 存syslogd服务产生的曰志信息(虽然服务名称己经改为reyslogd,但是很多配罝依然沿用了syslogd服务的,所以这里并没有修改服务名称)
user (LOG_USER) 用户等级类别的日志信息
uucp (LOG_UUCP) uucp子系统的日志信息,uucp是早期Linux系统进行数据传递的协议,后来也常用在新闻组服务中

三、操作

1、将ssh服务日志单独存放

2、远程日志

2.1在主机1操作

vim /etc/rsyslog.conf

2.2在主机2操作

主机1发送

 主机2接收

posted @ 2022-10-10 19:14  龙Llong  阅读(73)  评论(0编辑  收藏  举报