日志管理

一、日志管理

终端颜色：白色（普通文件）、红色（压缩文件）、绿色（执行权限）、蓝色（目录）

日志：一个文件，记录当前系统、用户、程序的工作状态

位置

系统、用户、RPM（YUM程序）：/var/log/目录下

源码程序：安装目录下，log目录

anaconda（响应程序，用于运行图形化安装向导），安装过程产生日志/var/log/anaconda.*

快捷键：Ctrl+Alt+F3（查看安装过程中网络情况）、Ctrl+Alt+F4（查看安装过程中内核情况）、Ctrl+Alt+F5（查看安装过程中的详细安装情况）、Ctrl+Alt+F6（回到安装向导）

日志文件分类

二进制日志文件：不能支持查看，只能通过特有命令调用日志文件查看

普通日志文件：可直接查看、如cat、tail -f等

1.常见系统日志

/var/log/anaconda.* //记录系统安装系统中相关运行情况

/var/log/audit/ //记录audit（审计）情况

/var/log/boot.log //记录启动过程中的内核情况

/var/log/btmp //记录所有用户登陆失败的信息（该日志文件不能直接查看）

/var/log/ConsoleKit/ //记录终端相关情况

/var/log/cron //记录crontab计划任务情况

/var/log/dmesg //记录引导过程中相关硬件工作情况

/var/log/dracut.log //记录initramfs（小型Linux系统）状态

/var/log/lastlog //记录用户登陆信息

/var/log/maillog //记录邮件情况

/var/log/messages //记录内核、系统、程序等综合性情况

/var/log/ntpstats/ //记录ntp时间同步信息

/var/log/prelink/ //记录prelink程序工作情况（预链接工具）

/var/log/wtmp //记录所有用户登陆成功的信息

/var/log/sa/ //记录sar（性能统计工具，分析性能）情况

/var/log/secure //记录hu安全认证情况（PAM认证）、一般记录密码情况

/var/log/spooler //保存特殊文件的情况，并只记录crit级别日志

/var/log/tallylog //记录pam认证相关内容

/var/log/yum.log //记录yum安装情况

2.wtmp、btmp、lastlog日志文件查看

lastlog //查看所有登陆成功的信息（读取/var/log/wtmp）

lastlogb //查看所有登陆失败的信息（读取/var/log/btmp）

w或who //查看当前已登陆用户信息（读取/var/log/lastlog）

3.日志格式

1）

Jun 25 10:16:53 xueluo abrtd: Init complete,entering main loop

发生时间 主机名 程序名:事件

2）

08:33:24,071 INFO : Copying anaconda logs

发生时间 日志级别/程序名:事件

4.日志级别

0（EMERG）紧急：系统不可用

1（ALERT）警告：必须马上采取措施

2（CRIT）严重：比较严重的错误

3（ERR）错误：软件运行出现错误

4（WARNING）提醒：可能影响系统功能，给出用户提醒

5（NOTICE）注意：不会影响系统功能，给出用户提醒

6（INFO）信息：一般信息

7（DEBUG）调试：程序或系统调试信息

注：一般程序记录日志级别为3、4、6、7比较常见

二、远程日志管理

部署服务端

1.关闭防火墙和selinux

1)/etc/init.d/iptables stop //清空防火墙规则

2)setenforce 0 //临时允许Selinux

2.开启rsyslog服务的514号端口

vim /etc/rsyslog.conf

:set nu(显示行号)

$ModLoad imudp //13行，删除#
$UDPServerRun 514 //14行，删除#
$ModLoad imtcp //17行，删除#
$InputTCPServerRun 514 //18行，删除#

3.编写配置文件

1)grep fromhost -r /usr/share/doc/rsyslog*

2)vim /etc/rsyslog.d/remote.conf

:fromhost-ip,isequal,"192.168.12.41" /var/log/remote-1.log
:fromhost-ip,"192.168.12.41" ~ ## 添加~后客户端的信息只保存在上面的文件中
:fromhost-ip,"192.168.12.42" /var/log/remote-2.log
:fromhost-ip,"192.168.12.42" ~

3)/etc/init.d/rsyslog restart

4)netstat -utpln |grep 514

部署客户端-1

1.关闭防火墙和selinux

1)/etc/init.d/iptables stop //清空防火墙规则

2)setenforce 0 //临时允许Selinux

2.编辑配置文件

1)vim /etc/rsyslog.conf ##注释定义存到本地日志文件的行(34-61) :34,63s/^/#/g

. @@(o)192.168.12.40:514 ##79行,两个@是走TCP（o）是为后面的端口号用

2)/etc/init.d/rsyslog restart

部署客户端-2

1.关闭防火墙和selinux

1)/etc/init.d/iptables stop //清空防火墙规则

2)setenforce 0 //临时允许Selinux

2.编辑配置文件

1)vim /etc/rsyslog.conf ##注释定义存到本地日志文件的行(34-61) :34,63s/^/#/g（如不注释则本地远程各存一个日志信息）

. @@(o)192.168.12.40:514 ##79行,两个@是走TCP（o）是为后面的端口号用

2)/etc/init.d/rsyslog restart

验证

客户端-1：logger "123" //去服务端(tail -f /var/log/remote-1.log)

客户端-2：logger "123" //去服务端(tail -f /var/log/remote-2.log)