《Linux菜鸟入门》系统日志

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《Linux菜鸟入门》系统日志相关的知识,希望对你有一定的参考价值。


系统日志

1.系统默认分类

 

 /var/log/messages  系统服务及日志包括服务的信息 报错

 /var/log/secure     系统认证信息日志

 /var/log/maillog    系统邮件服务信息

 /var/log/cron       系统定时任务信息

 /var/log/boot.log   系统启动信息

 

2.日志管理服务rsyslog。service

 

 1.rsyslog采集分类日志,不是生成

 2.rsyslog日志分类

   /etc/rsyslog.conf  主配置文件

  *.*                存放文件

  服务.日志级别        /var/log/westos

 

 systemctl restart rsyslog 在修改完配置文件后要重启rsyslog服务

 

3.日志分析工具journal

 

 systemd-journald   进程名称

 journalctl       直接执行,浏览系统日志

 journalctl -n 5  最新5条

 journalctl -p err  显示报错

 journalctl -f    监控日志生成  =tail -f

 journalctl --since ”toda【yyyyy-mm-dd】【hh:mm:ss】“ --until“”

 journalctl -o verbose 显示日志能够使用的详细进程参数

                      _SYSTEMD_UNIT=sshd.server 服务名称

                      _PID   进程PID

 

systemd-journald的管理

 

   默认情况下此程序会忽略重启之前的日志信息,如不忽略 ,操作如下

mkdir /\u52a1\u540d\u79f0

130                                 ##_PID=1182\u8fdb\u7a0bpid

 

4.格式

  日志设备类型.日志级别    日志处理方式

  auth                 pam产生的日志

  authpriv             ssh。ftp 等登陆信息的验证信息

cron                 时间任务相关

  kern                 内核

  lpr                  打印

  mail                 邮件

  mark(syslog)-rsyslog 服务内部的信息,时间标示

  news                 新闻组

  user                 用户程序产生的相关信息

  uucp                 unix to unix copy,unix主机之间相关的通讯

  local 1~7            自定义的日志设备

 

5.日志级别

  

   debug     有调试信息的,日志信息最多

   info      一般信息的日志,最常用

   notice    最具有重要性的普通条件的信息

   warning   警告级别

   err       错误级别,阻止某个功能或者模块不能正常工作的信息

   crit      严重级别 ,阻止整个系统或者整个软件不能正常工作的信息

   alert     需要立即修改的信息

   emerg     内核崩溃等严重信息

   none      什么都不记录

 

   注意:从上到下,级别从高到底,记录的信息越来越少

   详细可以查看手册:man 3 syslog

 

6.连接符号

   

   .xxx  表示大于等于xxx级别的信息

   .=xxx 表示等于xxx级别的信息

   .!xxx 表示在xxx之外的级别信息

 

7.示例

 

  1.记录到普通文件或设备文件:

  

     *.*  /var/log/file.log

     *.*  /dev/pts/0

        logger -p local3,info ‘KadeFor is testing the rsyslog and logger‘

 

   2.发送给用户(需要在线才能收到)

 

    *.* root               使用,号分隔多个用户

     *.* root,kadefor,up01  *表示所有在线用户

     *.* *                 

    3.忽略,丢弃

    local.* ~ 忽略所有local3类型的所有级别的日志

 

   4.执行脚本

    

      local3.*  ^/tmp/a.sh   ^号后跟可执行脚本或程序的绝对路径

 

8.日志同步

  

  systemctl stop firewalld  关闭两台主机的防火墙

日志发送方

 *.* @172.25.0.11   通过udp协议把日志发送到11主机  @ udp   @@tcp

日志接受方

 

  $ModLoad imudp      日志接收插件

  $UDPServerRun 514   日志接受插件使用端口、

 

9.日志采集格式

  

   $template WESTOS,"timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

   messages后加上WESTOS


本文出自 “12147236” 博客,请务必保留此出处http://12157236.blog.51cto.com/12147236/1863524

以上是关于《Linux菜鸟入门》系统日志的主要内容,如果未能解决你的问题,请参考以下文章

Linux------------ELK日志收集系统入门

如何用12小时,搞定1个通用可扩展的日志监控?| 大厂实践

mysql主从复制+读写分离 菜鸟入门

菜鸟日志之CentOS6.5下的tree命令

《Linux菜鸟入门》认识linux系统

详解Linux中的日志及用日志来排查错误的方法