首页 > 系统相关 >Linux日志文件及如何使用rsyslog搭建小型日志服务器

Linux日志文件及如何使用rsyslog搭建小型日志服务器

时间:2023-02-14 17:34:03浏览次数:56  
标签:log Rsyslog rsyslog Linux var 服务器 日志

 

一、日志文件

1、日志作用

2、常用日志

3、日志级别

二、Rsyslog日志处理系统

1、使用Rsyslog创建日志有点

2、Rsyslog配置文件解析

3、使用rsyslog将ssh服务的日志单独设置

4、使用rsyslog搭建日志服务器

①实验背景

②实验目的

③实验环境

③实验步骤

一、日志文件

1、日志作用

将系统和应用发生的事件记录至日志中,以助于排错和分析使用。

记录的内容包括:时间,地点,人物,事件

2、常用日志

 

 

 

3、日志级别

日志级别数字越小越紧急,一般运维过程中出现4级就要进行检查注意了


 

 

二、Rsyslog日志处理系统
1、使用Rsyslog创建日志有点
在运维过程中某些服务时自带错误日志和运行日志的,但是有一些服务安装完成后是没有日志的。下面我们以sshd服务为例创建一个日志。

例如sshd本身是有日志的,但是与其他安全服务一样都存放在/var/log/secure/messages文件中不方便我们查看sshd的日志,如果我们将sshd服务的日志单独生成一个日志文件便于我们查看,注意使用Rsyslog创建日志的服务必须支持Rsyslog。

2、Rsyslog配置文件解析
配置文件路径:/etc/rsyslog.conf

分为三大块:

MODULES:相关模块配置

GLOBAL DIRECTIVES:全局配置

RULES:日志记录相关的规则配置

#MODULES //相关模块配置

# Provides UDP syslog reception
#$ModLoad imudp //使用UDP协议传输日志数据
#$UDPServerRun 514 //端口为514端口

# Provides TCP syslog reception
#$ModLoad imtcp //使用TDP协议传输日志数据
#$InputTCPServerRun 514 //端口为514端口

#### GLOBAL DIRECTIVES #### //全局配置不常用省略

#### RULES #### //日志记录相关的规则配置

*.info;mail.none;authpriv.none;cron.none /var/log/messages
//*表示所有*.info表示所有级别,分号隔开none表示没有级别即不记录
//本行中表示不记录mail、authpriv、cron其他所有记录到/var/log/messages文件中

authpriv.* /var/log/secure
//authpriv所有等级日志记录到/var/log/secure文件中,文件可以自定义路径和文件名
//可以使用1个@或者2@加ip的形式将日志传到其他相通的服务器上

mail.* -/var/log/maillog
//mail所有等级日志记录到-/var/log/maillog文件中,文件可以自定义路径和文件名
//可以使用1个@或者2@加ip的形式将日志传到其他相通的服务器上

cron.* /var/log/cron
//cron所有等级日志记录到/var/log/cron文件中,文件可以自定义路径和文件名
//可以使用1个@或者2@加ip的形式将日志传到其他相通的服务器上
local7.* /var/log/boot.log
//local7表示自定义服务,范围为0-7都可以使用,在支持的服务配置文件中也要写对应的local等级
// /var/log/boot.log表示存到此目录下的文件中,文件可以自定义路径和文件名
//可以使用1个@或者2@加ip的形式将日志传到其他相通的服务器上

3、使用rsyslog将ssh服务的日志单独设置

1.vim /etc/ssh/sshd_config

shift+冒号 末行模式敲set nu 显示行号,上下键找到第32行,命令模式yy复制,p粘贴到下一行,将32行开头加上#号,按“i”进入编辑模式,将33行后面那个单词改为LOCAL6,保存退出

 

 

 

2.vim /etc/rsyslog.conf

shift+冒号 末行模式敲set nu 显示行号,上下键找到第73行,命令模式yy复制,p粘贴到下一行,按“i”进入编辑模式,改为如下

 

 

 

 

③重启sshd服务和rsyslog服务,如下图。

 

 

 

 

④本机ssh自己并查看实时日志是否生成记录,如下图。

 

 

 

 

 

4、使用rsyslog搭建日志服务器
①实验背景
日志服务器更方便管理企业内部日志,将业务服务器的日志都放到日志服务器上更便于运维和管理。

②实验目的
将业务服务器A的内核和公共日志实时传输到日志服务器B上

③实验环境
硬件:2台网络互通的centos7.4服务器

软件:业务服务器A地址为:192.168.30.11/32

业务服务器B地址为:192.168.30.10/32

③实验步骤
第一步将2台服务器的防火墙以及selinux防护关闭,如下图。

 

 

 第二步在业务服务器A和日志服务器B上配置rsyslog服务开启tcp协议,在业务服务器A上将内核和公共日志实时传输到日志服务器B上(配置文件路径:/etc/rsyslog.conf),如下图。

 

 

 

 

 第三步业务服务器A和日志服务器B上重启rsyslog服务并检查514端口是否开启,如下图。

 

 

 

 

第四步在业务服务器A上使用logger命令打印内容到日志查看日志服务器B是否能在日志中查看到,如下图。

 

 

标签:log,Rsyslog,rsyslog,Linux,var,服务器,日志
From: https://www.cnblogs.com/esec/p/17120309.html

相关文章

  • linux Usb serial console
    ubuntuUsbserialconsole能够把下电时打印输出到串口上,可以记录,而netconsole只能输出下电到disk之前的打印Usb串口线,ftdi或pl2303都可以如果是ubuntu,需要重新编译......
  • linux本地文件夹双向同步
    前言​ 开发时习惯将所有项目将在统一文件夹下,运行目录在其它目录;如果每次修改后又copy到运行目录就很蛋疼,于是找到了同步本地文件夹这个解决方法。监听工作目录的文件修......
  • 温习日志-17
    温习日志——2023年2月14日下午学习内容SettersandGetters在class中设置,set和getset函数名(必须有一个参数){}是当调用该函数名时,处理该参数get函数名(){}是......
  • 【Spring-boot-route(十五)整合RocketMQ+(十六)使用logback生产日志文件】
    spring-boot-route(十五)整合RocketMQRocketMQ简介RocketMQ是阿里巴巴开源的消息中间件。目前已经贡献给Apache软件基金会,成为Apache的顶级项目。rocketMQ基本概念1.Producer......
  • Linux系统的网卡路由配置
    (Linux系统的网卡路由配置)一、查看系统路由[root@control~]#route-nKernelIProutingtableDestinationGatewayGenmaskFlagsMetricRef......
  • 我常用的Linux快捷命令
    alias设置快捷自定义命令语法:alias快捷命令=‘完整命令’因为可以直接把上述当成一条语句来执行,但是服务器重启之后会失效,被称为临时快捷命令;但是!将他写入~/.b......
  • Linux下配置网络参数常用的两种方式!
    Linux系统下配置网络参数的方式主要分为两种:临时性网络配置、永久性网络配置,接下来我们通过这篇文章为大家详细的讲解一下,有需要的朋友可以认真阅读一下。Linux下配......
  • linux 防火墙
    前言centos7已经开始使用firewall作为防火墙,而不是iptablessystemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体查看防火墙的状......
  • Mybatis源码研究4:日志框架的实现
    一、logging包的概述本包主要依赖了Mybatis的reflection包的ExceptionUtil和io包的Resources,以及第三方的Log4j,Slf4j,CommonsLogging。Mybatis的其它包大量引用了本包中......
  • linux源码解析09–缺页异常之文件映射
    接上篇https://www.daodaodao123.com/?p=776本篇解析文件映射。1.文件映射触发条件(1)pte表项为空,且vma->vm_ops不为空,属于文件映射;(2)pte表项为空,且vma->vm_ops为空,属......