一、日志文件

1、日志作用

将系统和应用发生的事件记录至日志中，以助于排错和分析使用。

记录的内容包括：时间，地点，人物，事件

2、常用日志

3、日志级别

日志级别数字越小越紧急，一般运维过程中出现4级就要进行检查注意了

二、Rsyslog日志处理系统
1、使用Rsyslog创建日志有点
在运维过程中某些服务时自带错误日志和运行日志的，但是有一些服务安装完成后是没有日志的。下面我们以sshd服务为例创建一个日志。

例如sshd本身是有日志的，但是与其他安全服务一样都存放在/var/log/secure/messages文件中不方便我们查看sshd的日志，如果我们将sshd服务的日志单独生成一个日志文件便于我们查看，注意使用Rsyslog创建日志的服务必须支持Rsyslog。

2、Rsyslog配置文件解析
配置文件路径：/etc/rsyslog.conf

分为三大块：

MODULES：相关模块配置

GLOBAL DIRECTIVES：全局配置

RULES：日志记录相关的规则配置

#MODULES //相关模块配置

# Provides UDP syslog reception
#$ModLoad imudp //使用UDP协议传输日志数据
#$UDPServerRun 514 //端口为514端口

# Provides TCP syslog reception
#$ModLoad imtcp //使用TDP协议传输日志数据
#$InputTCPServerRun 514 //端口为514端口

#### GLOBAL DIRECTIVES #### //全局配置不常用省略

#### RULES #### //日志记录相关的规则配置

*.info;mail.none;authpriv.none;cron.none /var/log/messages
//*表示所有*.info表示所有级别，分号隔开none表示没有级别即不记录
//本行中表示不记录mail、authpriv、cron其他所有记录到/var/log/messages文件中

authpriv.* /var/log/secure
//authpriv所有等级日志记录到/var/log/secure文件中，文件可以自定义路径和文件名
//可以使用1个@或者2@加ip的形式将日志传到其他相通的服务器上

mail.* -/var/log/maillog
//mail所有等级日志记录到-/var/log/maillog文件中，文件可以自定义路径和文件名
//可以使用1个@或者2@加ip的形式将日志传到其他相通的服务器上

cron.* /var/log/cron
//cron所有等级日志记录到/var/log/cron文件中，文件可以自定义路径和文件名
//可以使用1个@或者2@加ip的形式将日志传到其他相通的服务器上
local7.* /var/log/boot.log
//local7表示自定义服务，范围为0-7都可以使用，在支持的服务配置文件中也要写对应的local等级
// /var/log/boot.log表示存到此目录下的文件中，文件可以自定义路径和文件名
//可以使用1个@或者2@加ip的形式将日志传到其他相通的服务器上