一、rsyslog简介
-
Rsyslog的全称是 rocket-fast system for log
-
syslogd是一个守护进程,配置这整个守护进程以及其子服务的地方就是/etc/syslog.conf这个文件
-
syslogd有一系列的子服务,例如mail、auth、cron、kern等等,这些子服务提供日志记录的功能,。当程序要记录log时,可以直接调用这些子服务将日志记录到设定的地方。
二、rsyslog日志服务命令
- 检查服务是否启动
[root@localhost ~]# ps aux | grep rsyslog | grep -v grep
root 2541 0.0 0.1 425892 25472 ? Ssl Aug13 2:06 /usr/sbin/rsyslogd -n2.检查服务开机自启动
[root@localhost ~]# systemctl list-unit-files rsyslog.service
UNIT FILE STATE
rsyslog.service enabled
1 unit files listed.3.检查服务自身状态
[root@localhost ~]# service crond status
Redirecting to /bin/systemctl status crond.service
● crond.service - Command Scheduler
Loaded: loaded (/usr/lib/systemd/system/crond.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2024-08-14 16:48:03 CST; 3 weeks 1 days ago
Main PID: 1879 (crond)
Tasks: 1
Memory: 652.0K
CGroup: /system.slice/crond.service
└─1879 /usr/sbin/crond -n
Aug 14 16:48:03 localhost.localdomain systemd[1]: Started Command Scheduler.
Aug 14 16:48:03 localhost.localdomain crond[1879]: (CRON) INFO (RANDOM_DELAY will be...)
Aug 14 16:48:03 localhost.localdomain crond[1879]: (CRON) INFO (running with inotify...)
Aug 14 16:48:03 localhost.localdomain crond[1879]: (CRON) INFO (@reboot jobs will be...)
Hint: Some lines were ellipsized, use -l to show in full.三、常见日志格式及文件
- 系统日志
日志文件 说明 /var/log/cron 记录与系统定时任务相关的日志 /var/log/cups/ 记录打印信息的日志 /var/log/dmesg 记录了系统在开机时内核自检的信息。也可以使用 dmseg命令直接查看内核自检信息 /var/log/btmp 记录错误登陆的日志。这个文件是二进制文件,不能直接用Vi查看,而要使用lastb命令查看。命令如下: [root@localhost]#lastb root tty1 Tue Jun 4 22:38 - 22:38 (00:00) #有人在6月4日22:38便用root用户在本地 终端1登陆错误 /var/log/lastlog 记录系统中所有用户最后一次的登录时间的日志。这个文 件也是二进制文件.不能直接用Vi查看。而要使用lastlog 命令查看 /var/log/mailog 记录邮件信息的日志 /var/log/messages 它是核心系统日志文件,其中包含了系统启动时的引导信 息,以及系统运行时的其他状态消息。1/0错误、网络错 误和其他系统错误都会记录到此文件中。其他信息,比如 某个人的身份切换为root,已经用户自定义安装软件的 日志,也会在这里列出。 /var/log/secure 记录验证和授权方面的信息,只要涉及账户和密码的程序 都会记录,比如系统的登录、ssh的登录、su切换用户, sudo授权,甚至添加用户和修改用户密码都会记录在这 个日志文件中 /var/log/wtmp 永久记录所有用户的登陆、注销信息,同时记录系统的后 动、重启、关机事件。同样,这个文件也是二进制文件. 不能直接用Vi查看,而要使用last命令查看 /var/tun/ulmp 记录当前已经登录的用户的信息。这个文件会随着用户的 登录和注销而不断变化,只记录当前登录用户的信息。同 样,这个文件不能直接用Vi查看,而要使用w、who - 软件服务日志
日志文件 说明 /var/log/httpd/ RPM包安装的apache取务的默认日志目录 /var/log/mail/ RPM包安装的邮件服务的额外日志因录 /var/log/samba/ RPM色安装的Samba服务的日志目录 /var/log/sssd/ 守护进程安全服务目录 -
日志的类型
日志 类型 auth pam产生的日志 authpriv ssh,ftp等登录信息的验证信息 cron 时间任务相关 kern 内核 lpr 打印 mail 邮件 mark(syslog)-rsyslog 服务内部的信息,时间标识 news 新闻组 user 用户程序产生的相关信息 uucp unix to unix copy,unix主机之间相关的通讯 local 1-7 自定义的日志设备 - 日志的级别
日志 级别 debug 有调试信息的,日志信息最多 info 一般信息的日志,最常用 notice 最具有重要性的普通条件的信息 warning 警告级别 err 错误级别,阻止某个功能或者模块不能正常工作的信息 crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息 alert 需要立刻修改的信息 emerg 内核崩溃等严重信息 -
配置/etc/rsyslog.conf服务
-
/etc/rsyslog.conf 是rsyslog服务的总配置文件
-
/etc/rsyslog.d 该目录是单独配置的rsyslog配置文件
-
-
配置文件/etc/rsyslog分析
# rsyslog configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####
#加载模块
# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # 为本地系统日志提供支持(例如通过logger命令)
$ModLoad imjournal # 提供对systemd日志的访问reads kernel messages (the same are read from journald)
#$ModLoad imklog # 读取内核消息(从journald读取)
#$ModLoad immark # 提供——MARK——消息功能
# 提供UDP syslog接收
$ModLoad imudp # 引用udp协议的模块
$UDPServerRun 514 # 设置udp协议使用端口
# 提供TCP syslog接收
$ModLoad imtcp # 引用tcp协议的模块
$InputTCPServerRun 514 # 设置tcp协议使用端口
#### GLOBAL DIRECTIVES ####
# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template Remote,"/var/log/%$YEAR%-%$MONTH%-%$DAY%/%fromhost-ip%.log" # 设置远程日志存放路径和文件格式
:fromhost-ip, !isequal, "127.0.0.1" ?Remote # 如果是本机日志则不记录
# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on
# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
# Turn off message reception via local log socket;
# local messages are retrieved through imjournal now.
$OmitLocalLogging on
# File to store the position in the journal
$IMJournalStateFile imjournal.state
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
# 关于内核的所有日志都放到/dev/console(控制台)
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
# 记录所有日志类型的info级别以及大于info级别的信息到/var/log/messages,但是mail邮件信息,authpriv验证方面的信息和cron时间任务相关的信息除外
*.info;*.alert;*.crit;;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
# authpriv验证相关的所有信息存放在/var/log/secure
authpriv.* /var/log/secure
# Log all the mail messages in one place.
# 邮件的所有信息存放在/var/log/maillog; 这里有一个-符号, 表示是使用异步的方式记录, 因为日志一般会比较大
mail.* -/var/log/maillog
# Log cron stuff
# 计划任务有关的信息存放在/var/log/cron
cron.* /var/log/cron
# Everybody gets emergency messages
# 启动的相关信息
*.emerg :omusrmsg:*
# Save news errors of level crit and higher in a special file.
# Save boot messages also to boot.log
local7.* /var/log/boot.log
# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList # run asynchronously
#$ActionResumeRetryCount -1 # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###