日志服务管理

一.系统日志管理

1.日志记录内容包括

历史事件：时间、地点、人物、事件

日志级别：事件的关键性程度、loglevel

2.sysklogd 系统日志服务

syslogd ： system application 记录应用日志

klogd ： linux kernel 记录内核日志

事件记录格式：

日期时间 主机 进程[pid]：事件内容

3.rsyslog 系统日志服务

rsyslog 特性

多线程

UDP，TCP，SSL，TLS，RELP

MySQL，PGSQL, Oracle实现日志存储

强大的过滤器，可实现过滤记录日志信息中任意部分

自定义输出格式 可以日志

适用于企业级

4.ELK

由Elasticsearch，Logstash，Kibana 三个软件组成

Elasticsearch 是个开源分布式搜索引擎，可以处理大规模日志数据，比如：Nginx、Tomcat、系统日志等功能

Logstash 对日志进行收集、分析，过滤，并将其存储供以后使用

Kibana 可以提供的日志分析友好的 Web 界面

二.rsyslog 管理

日志等级

见上篇博客

服务名称

auth （log auth）                    安全和认证相关消息

authpriv （log_authpriv）       安全和认证相关消息（私有）

cron （log_cron）                   系统定时任务cront 和 at 产生的日志

daemon（log_daemon）         与各个守护进程相关的日志

ftp （log_ftp）                          ftp 守护进程产生的日志

kern （log_kern）                    内核产生的日志

local0-local7 （log_local0-7）  为本地使用预留的服务

lpr （log_lpr）                           打印产生的日志

mail （log_mail）                      邮件收发信息

news （log_news）                  与新闻服务器相关的日志

syslog （log_syslog）               存syslogd服务产生的日志信息

user （log_user）                     用户等级类型的日志信息

uucp （log_uucp）                    uucp子系统的日志信息

三.实操

1）实际操作，将ssh服务的日志单独设置

查看位置

 修改配置文件

 打开文件 ssh_config

 找到32行

打开文件 rsyslog.conf

找到76行

 重启服务

 查看日志

2）网络日志（远程日志功能）

打开两部虚拟机

 两端打开 /etc/rsyslog.conf 文件

 找到19、20行 去掉 开头的注释符

 查看514端口是否打开

 修改配置文件 54 55行 复制    一个@代表使用udp

 写入日志测试

 再另外一台虚拟机上输入