1.日志介绍

1.1 什么是日志

网络设备、系统及服务程序等，在运作时都会产生一个叫log的事件记录；每一行日志都记载着日期、时间、使用者及动作等相关操作的描述

日志记录的内容包括：

历史事件：时间，地点，人物，事件
日志级别：事件的关键性程度，Loglevel

1.2 Linux系统使用的两种系统日志服务

sysklogd 系统日志服务

sysklogd是在centos5之前的版本中使用的系统日志服务

Sysklogd 日志记载器由两个守护进程(klogd syslogd)和一个配置文件(syslog.conf)组成。klogd 不运用配置文件，它负责截获内核消息，它既能够独立运用也能够作为 syslogd 的客户端运行。syslogd 默认运用 /etc/syslog.conf 作为配置文件，它负责截获使用程序消息，还能够截获 klogd 向其转发的内核消息。支撑 internet/unix domain sockets 的特征使得这两个工具能够用于记载本地和远程的日志

简单来说，syslogd负责记录应用日志，klogd负责记录内核日志

rsyslog 系统日志服务

rsyslog是CentOS 6以后版本的系统管理服务:它提供了高性能，出色的安全性和模块化设计。尽管rsyslog最初是常规的syslogd，但发展成为一种瑞士军刀式的记录工具,能够接受来自各种来源的输入,并将其转换,然后输出到不同的目的地

rsyslog 特性

多线程
UDP, TCP, SSL, TLS, RELP
MySQL, PGSQL, Oracle实现日志存储
强大的过滤器，可实现过滤记录日志信息中任意部分
自定义输出格式
适用于企业级中继

1.3 ELK

ELK：由Elasticsearch, Logstash, Kibana三个软件组成

非关系型分布式数据库基于apache软件基金会jakarta项目组的项目lucene
Elasticsearch是个开源分布式搜索引擎，可以处理大规模日志数据，比如：Nginx、Tomcat、系统日志等功能
Logstash对日志进行收集、分析，过滤，并将其存储供以后使用
Kibana 可以提供的日志分析友好的 Web 界面

2.rsyslog的管理

2.1 系统日志术语

facility：设施，从功能或程序上对日志进行归类

        常用的facility：
        lpr： 打印相关的日志
        auth：认证相关的日志
        user：用户相关的日志
        cron：计划任务相关的日志
        kern：内核相关的日志
        mail：邮件相关的日志
        mark：标记相关的日志
        news：新闻相关的日志
        uucp：文件copy相关的日志
        daemon：系统服务相关的日志
        authpri: 授权相关的日志
        security:安全相关的日志

Priority 优先级别，从低到高排序

等级名称	说明
debug (LOG_DEBUG)	一般的调试信息说明
info (LOG_INFO)	基本的通知信息
notice (LOG_NOTICE)	普通信息，但是有一定的重要性
warning(LOG_WARNING)	警吿信息，但是还不会影响到服务或系统的运行
error(LOG_ERR)	错误信息, 一般达到err等级的信息已经可以影响到服务成系统的运行了
crit (LOG_CRIT)	临界状况信思，比err等级还要严®
alert (LOG_ALERT)	状态信息，比crit等级还要严重，必须立即采取行动
emerg (LOG_EMERG)	疼痛等级信息，系统已经无法使用了
*	代表所有日志等级。比如，“authpriv.*”代表amhpriv认证信息服务产生的日志，所有的日志等级都记录