日志服务管理
一、日志介绍
1、日志文件
linux的日志文件可以说是最有用的了,日志文件可以让我们了解系统所处的状态,比如能查出哪些用户有登入,这也涉及相关的安全问题。如果我们不懂得分析日志,可能我们都不知道有些用户曾经登入过我们的系统。另外系统出了什么问题,我们也要查看系统日志。
2、日志文件所处的位置
日志文件所处的位置都在/var/log目录下,前提是您没有对日志配置文件/etc/syslog.conf进行过特别的配制。
3、日志记录的内容包括:
- 历史事件:时间,地点,人物,事件
- 日志级别:事件的关键性程度,Loglevel
二、系统日志服务
1、sysklogd 系统日志服务
在CentOS 5 之前的版本,采用的是 sysklogd 日志管理系统服务,syslogd用于记录应用日志,klogd用于记录内核日志。但是,CentOS 5 以及之前版本的系统,已经快要随着时代的发展而退出舞台了。
2、rsyslog 系统日志服务
2.1、概念
rsyslog是一个C/S架构的服务,可监听于某套接字,帮其它主机记录日志信息,在linux系统中可以分类两个日志:
klogd:kernel,记录内核相关的日志
syslogd:service,记录应用程序的日志
2.2、优点
rsyslog是CentOS 6以后的系统使用的日志系统,与之前的syslog日志系统相比,具有以下优点:
支持多线程
支持TCP、SSL、TLS、RELP等协议
强大的过滤器,可实现过滤日志信息中的任意部分
支持自定义输出格式
适用于企业级别日志记录需求
模块化
2.3、日志登记
| 消息 | 等级号 | 级别 | 说明 |
|---|---|---|---|
| EMERG | 0 | 紧急 | 会导致主机系统不可用的情况 |
| ALERT | 1 | 警告 | 必须马上采取解决措施的问题 |
| CRIT | 2 | 严重 | 比较严重的情况 |
| ERR | 3 | 错误 | 运行出现错误,一般达到ERR等级的信息已经可以影响到服务成系统的运行了 |
| WARNING | 4 | 提醒 | 可能会影响系统功能的事件 |
| NOTICE | 5 | 注意 | 不会影响系统但需要注意 |
| INFO | 6 | 信息 | 一般信息 |
| DEBUG | 7 | 调试 | 程序或系统调试信息等 |
2.4、服务名称
| 服务名称 | 说明 |
|---|---|
| auth(LOG_AUTH) | 安全和认证相关消息 (不推荐使用authpriv替代) |
| authpriv(LOG_AUTHPRIV) | 安全和认证相关消息(私有的) |
| cron (LOG_CRON) | 系统定时任务cront和at产生的日志 |
| daemon (LOG_DAEMON) | 与各个守护进程相关的曰志 |
| ftp (LOG_FTP) | ftp守护进程产生的曰志 |
| kern(LOG_KERN) | 内核产生的曰志(不是用户进程产生的) |
| Iocal0-local7 (LOG_LOCAL 0-7) | 为本地使用预留的服务 |
| lpr (LOG_LPR) | 打印产生的日志 |
| mail (LOG_MAIL) | 邮件收发信息 |
| news (LOG_NEWS) | 与新闻服务器相关的日志 |
| syslog (LOG_SYSLOG) | 存syslogd服务产生的曰志信息(虽然服务名称己经改为reyslogd,但是很多配罝依然沿用了syslogd服务的,所以这里并没有修改服务名称) |
| user (LOG_USER) | 用户等级类别的日志信息 |
| uucp (LOG_UUCP) | uucp子系统的日志信息,uucp是早期Linux系统进行数据传递的协议,后来也常用在新闻组服务中 |
三、操作
1、将ssh服务日志单独存放
2、远程日志
2.1在主机1操作
vim /etc/rsyslog.conf
2.2在主机2操作
主机1发送
主机2接收
