一.日志管理
日志:记录当前系统、用户和程序运行状态的文件
1 .目录位置
)1)系统、用户和rpm(yum )安装:/var/log/目录下
)2)源代码安装:安装目录下,log目录
) anaconda )用于运行图形安装向导的响应程序(安装过程为日志/var/log/anaconda.*
anaconda快捷键: Ctrl Alt F3、Ctrl Alt F4、正在安装的内核状态、Ctrl Alt F5、正在安装的详细安装状态、Ctrl Alt F5
2 .日志文件分类
二进制日志文件:不支持查看,只能使用特定命令调用日志文件进行查看
常规文件日志:可直接显示cat、tail -f等
)1)一般系统日志
/var/log/anaconda.* //记录系统安装系统的行为
记录/var/log/audit//audit (审核)的情况
/var/log/boot.log //记录启动过程中内核的状况
/var/log/btmp //记录所有用户登录失败的信息(不能直接查看此日志文件)
记录/var/log/ConsoleKit///终端的相关情况
记录/var/log/cron//crontab计划任务的情况
记录/var/log/dmesg //引导过程中相关硬件的行为
记录/var/log/dracut.log//initramfs (小型Linux系统)的状态
/var/log/lastlog //记录用户注册信息
记录/var/log/maillog //邮件的状况
记录/var/log/messages //内核、系统、程序等综合情况
记录/var/log/ntpstats//NTP时刻同步信息
记录/var/log/prelink///prelink程序的行为(链接工具)
/var/log/wtmp //记录所有用户成功登录
/var/log/sa///记录性能统计工具,性能分析)状况
/var/log/secure //一般记录安全认证状况(PAM认证)、密码状况
保存/var/log/spooler //特殊文件时,仅记录客户端级别的日志
记录/var/log/tallylog//PAM认证的相关内容
记录/var/log/yum.log//yum的安装情况
)2)查看wtmp、btmp和lastlog日志文件
查看lastlog //系统成功登录情况(读取/var/log/wtmp ) () ) ) ) ) ) ) ) ) ) )。
查看last或logb //系统登录失败的信息(读取/var/log/btmp ) )。
查看w或世卫组织//当前登录的用户信息(读取/var/log/lastlog ) )。
3 .日志格式
(1) jun 2510336016336053 hiahiaabrtd : init complete.entering main loop
发生时间主机名程序名称:事件
)2) 0833603:24,071 info : copyinganacondalogs
发生时间日志级别/程序名称:事件
4 .日志级别
0(Emerg )紧急:系统不可用
1 (警报)警告:必须立即采取措施
2 )2(CRIT )严重:比较严重的错误
3(err )错误:运行软件时发生错误
4 (警告)注意:可能会影响系统功能,提醒用户注意
5 )5(通告)注意:不影响系统功能,提醒用户注意
6 (信息)信息:一般信息
7 )7(调试)调试:程序或系统调试信息
注:一般程序日志级别为3、4、6和7
二.远程日志管理案例
服务端部署
1 .关闭防火墙和selinux
/etc/init.d/iptables stop //清除防火墙规则
setenforce 0 //临时允许Selinux
r打开rsyslog服务的514号端口
vim /etc/rsyslog.conf
:se nu (显示行号) ) ) ) )。
删除$ModLoad imudp //13行,#
删除$UDPServerRun 514 //14行,#
删除$ModLoad imtcp //17行,#
删除$InputTCPServerRun 514 //18行,#
3 .创建配置文件
grepfromhost-r/usr/share/doc/r syslog *
vim/etc/r syslog.d/remote.conf//新建配置式
:fromhost-ip,isequal,' 192.168.12.41 '/var/log/remote-1.log//客户端服务器的IP地址
:fromhost-ip、isequal、' 192.168.12.41' ~ ##添加~后续客户端的信息仅保存在上面的文件中
:fromhost-ip,isequal,' 192.168.12.42 '/var/log/remote-2.log
:fromhost-ip,isequal,' 192.168.12.42' ~
/etc/init.d/r重新启动syslog restart//远程日志文件
确定netstat -utpln |grep 514 //服务的514端口是否打开
客户机-1部署
1 .关闭防火墙和selinux
/etc/init.d/iptables stop //清除防火墙规则
setenforce 0 //临时允许Selinux
2 .编辑配置文件
vim /etc/rsyslog.conf ##注释定义保存在本地日志文件中的行34-61 ) :34,63s/^/#/g
*.*@@@(o ) 192.168.12.40:514 ##79行,两个@将TCP(o )用于后面的端口号
/etc/init.d/rsyslog restart //重启远程日志服务
客户端部署-2
1 .关闭防火墙和selinux
/etc/init.d/iptables stop //清除防火墙规则
setenforce 0 //临时允许Selinux
2 .编辑配置文件
vim /etc/rsyslog.conf ##注释定义保存在本地日志文件中的行34-61 ) :34,63s/^/#/g (如果没有注释,则本地远程逐个保存日志信息)
*.*@@@(o ) 192.168.12.40:514 ##79行,两个@将TCP(o )用于后面的端口号
/etc/init.d/rsyslog restart //重启远程日志服务
验证
客户端-1:logger '123' //到服务端(tail -f /var/log/remote-1.log )浏览
客户端-2:logger '123' //到服务端(tail -f /var/log/remote-2.log )浏览