rsyslog日誌服務

2021-09-27 20:58:35 字數 3352 閱讀 4454

linux系統日誌分析

rsyslog日誌服務簡介

日誌的概念好理解,日誌作用可用於排障和追溯審計的等

rsyslog 是乙個c/s架構的服務,可監聽於某套接字,幫其它主機記錄日誌資訊,rsyslog可以理解為增強版的syslog,在syslog的基礎上擴充套件了很多其他功能,如資料庫支援(mysql,postgresql、oracle等)、日誌內容篩選、定義日誌格式模板等。除了預設的udp協議外,rsyslog還支援tcp協議來接收日誌,可以yum安裝,也可以原始碼安裝 在linux系統中可以分類兩個日誌:

syslogd:service,記錄應用程式的日誌

·  rsyslog:是centos 6以後的系統使用的日誌系統,與之前的syslog日誌系統相比,具有以下優點:

支援多執行緒

支援tcp、ssl、tls、relp等協議

強大的過濾器,可實現過濾日誌資訊中的任意部分

支援自定義輸出格式

適用於企業級別日誌記錄需求

模組化2. 日誌的記錄格式

日期時間 主機程序[pid]:事件內容

1、程式包:rsyslog

程式環境:

配置檔案:/etc/rsyslog.conf, /etc/rsyslog.d/

主程式:/usr/sbin/rsyslogd

模組路徑:/usr/lib64/rsyslog/

unit file:/usr/lib/systemd/system/rsyslog.service

2、rsyslog中的術語:

facility:設施、通道;

auth, authpriv, cron, daemon, kern, lpr, mail, mark, news, security, user, uucp, syslog, local0-local7

priority:記錄日誌的等級,如果等級是info,代表包含了info以及以上的所有等級事件日誌都記錄

debug, info, notice, warn(warning), err(error), crit(critical), alert, emerg(panic)

/var/log/btmp:登入當前系統的所有的失敗的嘗試;

dmesg:系統引導過程中的日誌資訊;

/var/log/dmesg:系統引導過程中的日誌資訊;

/var/log/messages

messages 日誌是核心系統日誌檔案。它包含了系統啟動時的引導訊息,以及系統執行時的其他狀態訊息。io 錯誤、網路錯誤和其他系統錯誤都會記錄到這個檔案中。其他資訊,比如某個人的身份切換為 root,也在這裡列出。如果服務正在執行,比如 dhcp 伺服器,您可以在 messages 檔案中觀察它的活動。通常,/var/log/messages 是在做故障診斷時首先要檢視的檔案。

要檢視檔案的最後幾行,使用tai命令,tail /var/log/messages

# the authpriv file has restricted access.
authpriv.* /var/log/secure

[root@host ~]#tail /var/log/secure

aug 28 15:47:40 host-10-59-17-148 sshd[5610]: received disconnect from 10.28.48.1: 0: # 表示已經連著的終端主動斷開連線,並關閉終端

aug 28 15:47:40 host-10-59-17-148 sshd[5610]: pam_unix(sshd:session): session closed for user root # 表示root使用者關閉了會話(也就是關閉了終端)

aug 28 16:04:07 host-10-59-17-148 sshd[5649]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.28.48.1 user=root # 表示接受來自14.23.168.10的root使用者的公鑰登入

aug 28 16:04:09 host-10-59-17-148 sshd[5649]: failed password for root from 10.28.48.1 port 53920 ssh2

aug 28 16:04:13 host-10-59-17-148 sshd[5649]: accepted password for root from 10.28.48.1 port 53920 ssh2# 表示接受來自10.28.48.1的root使用者的公鑰登入

aug 28 16:04:13 host-10-59-17-148 sshd[5649]: pam_unix(sshd:session): session opened for user root by (uid=0) # 表示給root使用者開啟乙個終端

aug 28 16:23:40 host-10-59-17-148 sshd[5649]: received disconnect from 10.28.48.1: 0: # 表示已經連著的終端主動斷開連線,並關閉終端

aug 28 16:23:40 host-10-59-17-148 sshd[5649]: pam_unix(sshd:session): session closed for user root

aug 28 17:14:12 host-10-59-17-148 sshd[5703]: accepted password for root from 10.28.51.184 port 12220 ssh2

aug 28 17:14:12 host-10-59-17-148 sshd[5703]: pam_unix(sshd:session): session opened for user root by (uid=0)

[root@host-10-59-17-148 ~]#

# log all the mail messages in one place.
mail.* -/var/log/maillog

cron.*/var/log/cron

*.emerg *

uucp,news.crit /var/log/spooler

local7.* /var/log/boot.log

用rsyslog的緣由:

1.防止系統崩潰無法獲取系統日誌分享崩潰原因,用rsyslog可以把日誌傳輸到遠端的日誌伺服器上

2.使用rsyslog日誌可以減輕系統壓力,因為使用rsyslog可以有效減輕系統的磁碟io

3.rsyslog使用tcp傳輸非常可靠,可以對日誌進行過濾,提取出有效的日誌,rsyslog是輕量級的日誌軟體,在大量日誌寫的情況下,系統負載基本上在0.1以下

rsyslog 本地日誌 日誌伺服器

rsyslog 本地日誌 日誌伺服器 環境 centos linux release 7.1.1503 core 步驟 rpm qa grep rsyslog,如果已安裝則可跳過後面的步驟.root localhost rpm qa grep rsyslog rsyslog 7.4.7 7.el7 ...

rsyslog 日誌服務詳解,適合新手

處理日誌的程序 第一類第二類 rsyslog 是centos 6以後的系統使用的日誌系統,它與之前的syslog日誌系統相比具有諸多優點 常見日誌檔案 系統,程序,應用程式 上圖中部分日誌檔案 root w66 rpm qc rsyslog 觀察日誌程式的配置檔案 進入主配置檔案檢視 主要分為三部分...

rsyslog 日誌收集服務簡單配置

環境 centos7 rsyslog的全稱是 rocket fast system for log,它提供了高效能,高安全功能和模組化設計。rsyslog能夠接受從各種各樣的 將其輸入,輸出的結果到不同的目的地。rsyslog可以提供超過每秒一百萬條訊息給目標檔案。使用rsyslog對伺服器各類日誌...