您现在的位置是：首页 > 服务器 > Linux

Linux

Linux系统LOG日志分析与管理（一）

2022-06-16 12:05Linux

摘要：syslog是早期的centos版本的日志收集器，从centos6.0开始，rsyslog就代替了syslog，成为默认日志服务系统。rsyslog日志收集器介绍：rsyslogd的进程名为rsyslogd；rsyslog的配置文件为/etc/rsyslog.conf。rsyslog的特性：1、多线程；2、支持UDP，TCP，SSL；3、存储日志信息与MYSQL、PGSQL等数据库管理系统兼容；4、强大的过滤器，实现过滤日志信息中任何部分的内容；5、自定义输出格式。本文将介绍rsyslog日志的配置与使用，详情请看下文。

一、登陆Linux系统

1、登陆系统

2、查看系统日志

二、Rsyslog日志系统配置

1、日志文件格式

日志服务rsyslogd记录的日志文件，其格式是一样的。

基本日志格式包含以下内容：1、事件产生的时间；2、发生事件的服务器的主机名；3、产生事件的服务名或程序名；4事件的具体信息（具体日志信息）。下面以/var/log/messages为例：

2、rsyslogd服务的配置文件

rsyslog.conf配置文件的位置为/etc/rsyslog.conf。具体配置信息如下图

3、rsyslog服务名称

rsyslogd服务可以识别以下服务的日志，也可以理解为，以下这些服务委托了rsyslogd服务来代为管理日志。

服务名称	说明
auth (LOG_AUTH)	安全和认证相关消息。
authpriv (LOG_AUTHPRIV)	安全和认证相关消息（私有的）。
cron (LOG_CRON)	系统定时任务cront和at产生的日志。
daemon (LOG_DAEMON)	和各个守护进程相关的日志。
ftp (LOG_FTP)	ftp守护进程产生的日志。
kern (LOG_KERN)	内核产生的日志（不是用户进程产生的）。
local0-local7 (LOG_LOCAL0-7)	为本地使用预留的服务。
lpr (LOG_LPR)	打印产生的日志。
mail (LOG_MAIL)	邮件收发信息。
news (LOG_NEWS)	与新闻服务器相关的日志。
syslog (LOG_SYSLOG)	由syslogd服务产生的日志信息（虽然服务名称已经改为rsyslogd，但是很多配置都还是沿用了syslogd的，这里并没有修改服务名）。
user (LOG_USER)	用户等级类别的日志信息。
uucp (LOG_UUCP)	uucp子系统的日志信息，uucр是早Linux系统进行数据传递的协议，后来也常用在新闻组服务中。

4、rsyslog日志等级

debug日志等级最低，emerg 日志等级最高。日志等级低，他记录的日志信息可能就会多些。

等级名称	说明
debug (LOG_DEBUG)	一般的调试信息说明。
info (LOG_INFO)	基本的通知信息。
notice (LOG_NOTICE)	普通信息，但是有一定的重要性。
warning (LOG_WARNING)	警告信息，但是还不会影响到服务或系统的运行。
err (LOG_ERR)	错误信息，一般达到err等级的信息，已经可以影响到服务或系统的运行了。
crit (LOG_CRIT)	临界状况信息，比err等级还要严重。
alert (LOG_ALERT)	警告状态信息，比crit还要严重。必须立即采取行动。
emerg (LOG_EMERG)	疼痛等级的日志信息，系统已经无法使用了。
*	代表所有日志等级，比如：authpriv.*代表authpriv认证信息服务产生的日志，所有的日志等级都记录。