0
点赞
收藏
分享

微信扫一扫

Linux系统中的日志服务管理

言午栩 2022-03-12 阅读 72

目录

1.日志介绍

1.1 什么是日志

1.2 Linux系统使用的两种系统日志服务

1.3 ELK

2.rsyslog的管理

2.1 系统日志术语

1.2 实验

1.日志介绍

1.1 什么是日志

网络设备、系统及服务程序等,在运作时都会产生一个叫log的事件记录;每一行日志都记载着日期、时间、使用者及动作等相关操作的描述

日志记录的内容包括:

  • 历史事件:时间,地点,人物,事件

  • 日志级别:事件的关键性程度,Loglevel

1.2 Linux系统使用的两种系统日志服务

sysklogd 系统日志服务

sysklogd是在centos5之前的版本中使用的系统日志服务

Sysklogd 日志记载 器由两个守护进程(klogd syslogd)和一个配置文件(syslog.conf)组成。klogd 不运用 配置文件,它负责截获内核消息,它既能够 独立运用 也能够 作为 syslogd 的客户端运行。syslogd 默认运用 /etc/syslog.conf 作为配置文件,它负责截获使用 程序消息,还能够 截获 klogd 向其转发的内核消息。支撑 internet/unix domain sockets 的特征 使得这两个工具能够 用于记载 本地和远程的日志

简单来说,syslogd负责记录应用日志,klogd负责记录内核日志

rsyslog 系统日志服务

rsyslog是CentOS 6以后版本的系统管理服务:它提供了高性能,出色的安全性和模块化设计。尽管rsyslog最初是常规的syslogd,但发展成为一种瑞士军刀式的记录工具,能够接受来自各种来源的输入,并将其转换,然后输出到不同的目的地

rsyslog 特性

  • 多线程

  • UDP, TCP, SSL, TLS, RELP

  • MySQL, PGSQL, Oracle实现日志存储

  • 强大的过滤器,可实现过滤记录日志信息中任意部分

  • 自定义输出格式

  • 适用于企业级中继

1.3 ELK

ELK:由Elasticsearch, Logstash, Kibana三个软件组成

  • 非关系型分布式数据库基于apache软件基金会jakarta项目组的项目lucene

  • Elasticsearch是个开源分布式搜索引擎,可以处理大规模日志数据,比如:Nginx、Tomcat、系统日志等功能

  • Logstash对日志进行收集、分析,过滤,并将其存储供以后使用

  • Kibana 可以提供的日志分析友好的 Web 界面

2.rsyslog的管理

2.1 系统日志术语

facility:设施,从功能或程序上对日志进行归类

        常用的facility:
        lpr: 打印相关的日志
        auth:认证相关的日志
        user:用户相关的日志
        cron:计划任务相关的日志
        kern:内核相关的日志
        mail:邮件相关的日志
        mark:标记相关的日志
        news:新闻相关的日志
        uucp:文件copy相关的日志
        daemon:系统服务相关的日志
        authpri: 授权相关的日志
        security:安全相关的日志

Priority 优先级别,从低到高排序

等级名称说 明
debug (LOG_DEBUG)一般的调试信息说明
info (LOG_INFO)基本的通知信息
notice (LOG_NOTICE)普通信息,但是有一定的重要性
warning(LOG_WARNING)警吿信息,但是还不会影响到服务或系统的运行
error(LOG_ERR)错误信息, 一般达到err等级的信息已经可以影响到服务成系统的运行了
crit (LOG_CRIT)临界状况信思,比err等级还要严®
alert (LOG_ALERT)状态信息,比crit等级还要严重,必须立即采取行动
emerg (LOG_EMERG)疼痛等级信息,系统已经无法使用了
*代表所有日志等级。比如,“authpriv.*”代表amhpriv认证信息服务产生的日志,所有的日志等级都记录

1.2 实验

单独设置ssh日志

首先进入/etc/ssh/sshd_config 目录下修改配置文件

加入自定义的local6

 然后再/etc/rsyslog.conf文件的第76行添加自己的文件位置

使用ssh命令重新登录一下,就可以看到目录中出现了ssh.log文件

 

 

远程日志功能

远程日志功能就是将一台服务器上的日志文件,传输到另一台服务器上

首先我们需要进入 /etc/rsyslog.conf 文件中开启19 20两行,以开启接收方的传输端口

使用ss命令可以查看端口是否开启

 之后我们修改发送端 rsyslog的配置文件,两个@代表tcp协议(一个@代表udp)

 注意,在使用网络命令之前,我们需要关闭防火墙,修改完配置文件之后,需要重启服务

完成之后,我们使用logger命令在日志文件中添加测试字段

 之后我们来到接收方,使用tail命令来参看一下/var/log/messages文件

 可以看到这里出现了刚刚输入的测试字段,试验成功!

 

举报

相关推荐

0 条评论