rsyslog日志基礎介紹

 1、日志

錄了某件事情的：時間、地點、人物、事件等。

2、rsyslog的特性：centos6和7

1）、多線程 2）、UDP, TCP, SSL, TLS, RELP 3）、MySQL, PGSQL, Oracle實現日志存儲 4）、強大的過濾器，可實現過濾記錄日志信息中任意部分 5）、自定義輸出格式

3、syslog程序

1、程序包：rsyslog

2、主程序：/usr/sbin/rsyslogd

3、CentOS 6：service rsyslog {start|stop|restart|status}

4、CentOS 7：/usr/lib/systemd/system/rsyslog.service

5、配置文件：/etc/rsyslog.conf，/etc/rsyslog.d/*.conf

6、庫文件： /lib64/rsyslog/*.so /usr/lib64/rsyslog/imptcp.so /usr/lib64/rsyslog/imtcp.so /usr/lib64/rsyslog/imudp.so 這個三個模塊使用網絡傳輸數據

7、配置文件格式：由三部分組成 ​MODULES：相關模塊配置 ​GLOBAL DIRECTIVES：全局配置 ​RULES：日志記錄相關的規則配置

 4、syslog配置文件

vim  /etc/rsyslog.conf 

模塊定義
# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark  # provides --MARK-- message capability

定義是否通過網絡發送數據 端口自定義
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514


日志定義的格式 
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

5、配置日志的格式

1、RULES配置格式

vim /etc/rsyslog.conf
local7.*                  /var/log/boot.log
local6.*				  @@192.168.25.17

2、facility設置

*: 所有的facility
facility1,facility2,facility3,...：指定的facility列表

3、priority級別設置

*: 所有級別
none：沒有級別，即不記錄
PRIORITY：指定級別（含）以上的所有級別
PRIORITY：僅記錄指定級別的日志信息

4、target

文件路徑：通常在/var/log/，文件路徑前的-表示異步寫入
用戶：將日志事件通知給指定的用戶，* 表示登錄的所有用戶
local6.*				  *(表示所有用戶)root,xzcdc,xinye 
日志服務器：@host，把日志送往至指定的遠程服務器記錄
local6.*				  @192.168.25.17遠程主機上的rsyslog.conf的要寫明存在的路徑文件
管道： | COMMAND，轉發給其它命令處理

5、啟用網絡日志服務

在/etc/rsyslog.conf配置文件中規定了UDP和TCP的設置
#$ModLoad imudp
#$UDPServerRun 514



#$ModLoad imtcp
#$InputTCPServerRun 514

#需要啟用誰就把前面的注釋關掉即可

6、其他日志文件

/var/log/secure：系統安裝日志，文本格式，應周期性分析

/var/log/btmp：當前系統上，用戶的失敗嘗試登錄相關的日志信息，二進制格式，lastb命令進行查看

/var/log/wtmp：當前系統上，用戶正常登錄系統的相關日志信息，二進制格式，last命令可以查看

/var/log/lastlog:每一個用戶最近一次的登錄信息，二進制格式，lastlog命可以查看

/var/log/dmesg：系統引導過程中的日志信息，文本格式文本查看工具查看

/var/log/messages ：系統中大部分的信息

/var/log/anaconda : anaconda的日志