一.系统日志管理
1.日志记录内容包括
历史事件:时间、地点、人物、事件
日志级别:事件的关键性程度、loglevel
2.sysklogd 系统日志服务
syslogd : system application 记录应用日志
klogd : linux kernel 记录内核日志
事件记录格式:
日期时间 主机 进程[pid]:事件内容
3.rsyslog 系统日志服务
rsyslog 特性
多线程
UDP,TCP,SSL,TLS,RELP
MySQL,PGSQL, Oracle实现日志存储
强大的过滤器,可实现过滤记录日志信息中任意部分
自定义输出格式 可以日志
适用于企业级
4.ELK
由Elasticsearch,Logstash,Kibana 三个软件组成
Elasticsearch 是个开源分布式搜索引擎,可以处理大规模日志数据,比如:Nginx、Tomcat、系统日志等功能
Logstash 对日志进行收集、分析,过滤,并将其存储供以后使用
Kibana 可以提供的日志分析友好的 Web 界面
二.rsyslog 管理
日志等级
见上篇博客
服务名称
auth (log auth) 安全和认证相关消息
authpriv (log_authpriv) 安全和认证相关消息(私有)
cron (log_cron) 系统定时任务cront 和 at 产生的日志
daemon(log_daemon) 与各个守护进程相关的日志
ftp (log_ftp) ftp 守护进程产生的日志
kern (log_kern) 内核产生的日志
local0-local7 (log_local0-7) 为本地使用预留的服务
lpr (log_lpr) 打印产生的日志
mail (log_mail) 邮件收发信息
news (log_news) 与新闻服务器相关的日志
syslog (log_syslog) 存syslogd服务产生的日志信息
user (log_user) 用户等级类型的日志信息
uucp (log_uucp) uucp子系统的日志信息
三.实操
1)实际操作,将ssh服务的日志单独设置
查看位置
修改配置文件
打开文件 ssh_config
找到32行
打开文件 rsyslog.conf
找到76行
重启服务
查看日志
2)网络日志(远程日志功能)
打开两部虚拟机
两端打开 /etc/rsyslog.conf 文件
找到19、20行 去掉 开头的注释符
查看514端口是否打开
修改配置文件 54 55行 复制 一个@代表使用udp
写入日志测试
再另外一台虚拟机上输入
标签:ftp,服务,log,管理,rsyslog,日志,系统日志 From: https://www.cnblogs.com/tsumiki/p/17593840.html