(1)日志基础

1)简介

rsyslog:记录大部分与系统操作有关,例如安全,认证sshd,su,计划任务at,cron

rsyslog日志可以存在本地,也可以存放在远程服务器

2)常见的日志文件

/var/log/messages 					//系统主日志文件

/var/log/secure						//认证丶安全

/var/log/maillog					//跟邮件postfix有关

/var/log/cron						//crond,at进程产生的日志

/var/log/dmesg						//和系统启动有关

/var/log/audit/audit.log 			//系统审计日志

/var/log/yum.log					//yum日志

/var/log/xferlog 					//和访问FTP服务器有关

w 									//当前登录的用户 /var/log/wtmp

last 								//最近登录的用户 /var/log/btmp

lastlog 							//所有用户的登录情况 /var/log/lastlog

3)例

统计登录失败的top5 ip地址

#grep  "failure" /var/log/secure | awk -F'[ =]+' '{print $18}'  | grep -v user | sort | uniq -c | sort -k1 -rn | head -5

统计登录成功的top5 ip地址

#grep "Accept" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -k1 -rn | head -5

(2)rsyslog子系统

1)服务和配置文件

systemctl status rsyslog

/etc/logrotate.d/syslog 			//日志切割相关

/etc/rsyslog.conf 					//rsyslogd的主配置文件

2)主配置文件:/etc/rsyslog.conf

在主配置文件下定义了一套规则: 告诉rsyslogd进程哪个设备(facility),关于哪个级别的信息,以及如何处理

authpriv.*                                              /var/log/secure

设备.日志级别											日志文件


#### RULES ####

authpriv.*                                              /var/log/secure				//设备authpriv的所有级别都输出到/var/log/secure文件中

mail.*                                                  -/var/log/maillog			//设备mail的所有级别都延迟输出到/var/log/maillog文件中

cron.*                                                  /var/log/cron

*.emerg                                                 :omusrmsg:*					//所有设备的紧急级别日志都输出到屏幕上

local7.*                                                /var/log/boot.log

local4.*   												@192.168.1.253   //UDP 		//local4设备所有级别日志使用udp协议输出到192.168.1.253这台主机

local4.*   												@@192.168.1.253   //TCP

local设备是系统保留的设备

级别 :遇到何种情况才会记录日志

emerg 				//紧急,致命,服务无法继续运行,如配置文件丢失

alert 				//报警,需要立即处理,如磁盘使用率95%

crit 				//致命行为

err					//错误行为

warning 			//警告信息

notice				//普通

info				//标准信息

debug				//调试信息,拍错所需

说明:例如sshd程序的配置文件(/etc/ssh/sshd_config)中定义SyslogFacility AUTHPRIV;表示sshd程序使用rsyslog程序中的AUTHPRIV这个设备,表示sshd的日志都会输出到AUTHPRIV这个设备,同时在rsyslog的配置文件上(/etc/rsyslog.conf)中定义了一个规则(authpriv.* /var/log/secure),这个规则表示设备AUTHPRIV这个设备的所有级别日志都会输出到/var/log/secure上

3)例:改变应用程序sshd的日志设备为local5,并定义local5设备日志记录到/var/log/sshd.log文件中

#vim /etc/ssh/sshd_config			//修改sshd使用rsyslog的设备为LOCAL5

#SyslogFacility AUTHPRIV

SyslogFacility LOCAL5

#systemctl restart sshd


#vim /etc/rsyslog.conf 				//修改rsyslog配置文件定义设备local5的所有级别日志输出到/var/log/sshd.log中

local5.*     /var/log/sshd.log

#systemctl restart rsyslog

4)命令logger

logger "pppppp"						//日志默认输出到/var/log/messages文件中

logger -p local5.info  "pppp"		//-p指定设备名和日志级别,日志输出到local5这个设备定义的输出文件中

logger -p local5.emerg "warnning"	//日志级别为紧急emerg,默认情况都会打印到屏幕上,

5)日志发送到远程服务器:192.168.1.40的local5设备的所有级别日志都发送到192.168.1.253上;

#vim /etc/rsyslog.conf

local5.*       @192.168.1.253		//定义local5设备的所有级别日志发送到192.168.1.253这台主机

#systemctl restart rsyslog


#tcpdump -i eth0 -nn port 514		//在192.168.1.253主机上进行抓包验证

#vim /etc/rsyslog.conf 				//修改rsyslog主配置文件,定义设备local5的所有级别日志都输出到/var/log/test.log文件中

local5.*       /var/log/test.log

#systemctl restart rsyslog


测试命令:logger -p local5.info  "pppp"		//在40主机上使用logger进程产生设备local5的info级别日志

日志rsyslog的更多相关文章

  1. nginx 通过rsyslog发日志 rsyslog服务器挂掉 日志丢失问题

    nginx 配置: user nginx; worker_processes 1; syslog local5 nginx-zjzc01; rsyslog 服务器收到的消息: -rw-r--r-- 1 ...

  2. ELK日志系统之使用Rsyslog快速方便的收集Nginx日志

    常规的日志收集方案中Client端都需要额外安装一个Agent来收集日志,例如logstash.filebeat等,额外的程序也就意味着环境的复杂,资源的占用,有没有一种方式是不需要额外安装程序就能实 ...

  3. 001-CentOS 7系统搭建Rsyslog+LogAnalyzer解决交换机日志收

    日志功能对于操作系统是相当重要的,在使用中,无论是系统还是应用等等,出了任何问题,我们首先想到的便是分析日志,查找问题原因.自 CentOS 7 开始,我们的 CentOS 便开始使用 rsyslog ...

  4. rsyslog日志服务部署

    rsyslog简介 rsyslog是CentOS6和CentOS7默认的记录日志的服务 支持特性: UDP, TCP, SSL, TLS, RELP MySQL, PGSQL, Oracle实现日志存 ...

  5. HAProxy的日志配置以及ACL规则实现负载均衡

    HAProxy配置日志策略 默认情况下,HAProxy是没有配置日志的在centos6.3下默认管理日志的是rsyslog,可以实现UDP日志的接收,将日志写入文件,写入数据库先检测rsyslog是否 ...

  6. CentOS6.5配置rsyslog

    如何在RHEL 6.5安装和配置rsyslog现在7.6版本/ CentOS的6.5 .The情况是,安装和RHEL / CentOS的6.5安装rsyslog现在集中式日志服务器上.所有的客户端服务 ...

  7. Linux日志系统

    常见的日志 常见的日志一般存储在/var/log中.常见的日志查看使用:ls/ll,cat/more/less查看即可:wtmp,lastlog使用last和lastlog提取其信息即可 配置日志 较 ...

  8. 日志管理与ftp。samba,nfs

    1.描述rsyslog日志服务,并提供带web展示的日志服务器 rsyslog日志服务简介 ​ 日志的概念好理解,日志作用可用于排障和追溯审计的等 ​ 1.rsyslog是一个C/S架构的服务,可监听 ...

  9. ELK日志平台搭建

    功能: 1. 查看当天的服务器日志信息(要求:在出现警告甚至警告级别以上的都要查询)2. 能够查看服务器的所有用户的操作日志3. 能够查询nginx服务器采集的日志(kibana作图)4. 查看tom ...

随机推荐

  1. bzoj1026 windy数 数位DP

    windy定义了一种windy数.不含前导零且相邻两个数字之差至少为2的正整数被称为windy数. windy想知道,在A和B之间,包括A和B,总共有多少个windy数? Input 包含两个整数,A ...

  2. Log4J使用实例---日志进行邮件发送或是存入数据库

    部分转摘:http://blog.csdn.net/azhao_dn/article/details/9118667 1.根类别(在类别层次结构的顶部,即全局性的日志级别) 配置根Logger,其语法 ...

  3. MongoDB入门(2)- MongoDB安装

    windows安装 下载文件,解压缩即可.下载地址 每次运行mongod --dbpath D:/MongoDB/data 命令行来启动MongoDB实在是不方便,把它作为Windows服务,这样就方 ...

  4. Spring 学习笔记之整合Hibernate

    Spring和Hibernate处于不同的层次,Spring关心的是业务逻辑之间的组合关系,Spring提供了对他们的强大的管理能力, 而Hibernate完成了OR的映射,使开发人员不用再去关心SQ ...

  5. jQuery对象初始化的传参方式

    jQuery对象初始化的传参方式包括: 1.$(DOMElement) 2.$(' ... '), $('#id'), $('.class') 传入字符串, 这是最常见的形式, 这种传参数经常也传入第 ...

  6. 2017 济南综合班 Day 7

     a 两个指针L.R R开始指向恰好[R,n]有不超过k个逆序对的地方 随着L的右移,R指针只会右移 逆序对有2部分 1.L左侧与其他位置形成的逆序对 2.R右侧与其他位置形成的逆序对 用树状数组分别 ...

  7. IntentServicce;Looper;long-running task

    7. If you want to carry on a long-running task, what do you need to do? IntentService:Service Servic ...

  8. 【洛谷 P2756】 飞行员配对方案问题(二分图匹配,最大流)

    题目链接 这不是裸的二分图匹配吗? 而且匈牙利算法自带记录方案.. 但既然是网络流24题,那就用网络流来做吧. 具体就是从源点向左边每个点连一条流量为1的边,两边正常连边,流量都是一,右边所有点向汇点 ...

  9. Python 对象的深拷贝与浅拷贝 -- (转)

    本文内容是在<Python核心编程2>上看到的,感觉很有用便写出来,给大家参考参考! 浅拷贝 首先我们使用两种方式来拷贝对象,一种是切片,另外一种是工厂方法.然后使用id函数来看看它们的标 ...

  10. 如何入门 Python 爬虫?

    作者:谢科   来源:知乎链接:https://www.zhihu.com/question/20899988/answer/24923424 著作权归作者所有.商业转载请联系作者获得授权,非商业转载 ...