Linux中rsyslog与journal对系统日志进行管理

1. 系统日志在管理中的作用&＃xff1a;
   系统日志具有审计与监测作用&＃xff0c;通过对日志中相关信息的分析&＃xff0c;可以检查系统发生错误的相关信息&＃xff0c;实时进行监控。有效利用日志信息并会分析与监控管理&＃xff0c;对维护系统安全性有重要作用。
2. 系统日志分类
   ###系统日志一般存放在/var/log/file下

/var/log/messages ###记录服务信息&＃xff0c;系统报错信息等
/var/log/secure ###存放用户认证相关信息的日志
/var/log/cron ### 定时任务日志
/var/log/maillog ###系统中邮件服务日志
/var/log/boot.log ###系统启动相关日志


###查看系统日志文件的权限

###这里我们可以查看sshd服务日志。首先清空日志信息&＃xff0c;方便查看&＃xff0c;重启sshd服务&＃xff0c;查看sshd产生的日志信息。在企业工作中不可以直接清空日志&＃xff0c;可以先备份&＃xff0c;然后清空

> /var/log/messages ###清空日志
systemctl restart sshd.service ###重启sshd服务
cat /var/log/messages ###查看日志


#####日志管理rsyslog服务
###rsyslog服务简介&＃xff1a;rsyslog是一个日志管理系统&＃xff0c;可通过UDP/TCP协议提供日志记录服务&＃xff0c;并且对采集日志可以自定义格式输出
rsyslog主配置文件在 /etc/rsyslog.conf
辅助配置文件在/etc/rsyslog.d/*.conf
#####日志类型

auth ###pam产生的日志
authpriv ###ssh, ftp等登录信息的验证信息
cron ###时间任务相关
kern ###内核
lpr ###打印
mail ###邮件
mark(syslog)-rsyslog ###服务内部的信息&＃xff0c;时间标识
news ###新闻组
user ###用户程序产生相关信息
uucp ###Unix to Unix copy
local 1~7 ###自定义的日志设备


###日志级别&＃xff1a;

debug ###调试信息的日志最多
info ###一般信息的日志&＃xff0c;最常用
notice ###最具有重要性的普通条件的信息
warning ###警告级别
err ###错误界别&＃xff0c;阻止某功能或模块正常工作的信息
crit ###严重级别&＃xff0c;阻止系统或整个软件正常工作的信息
alert ###需要立刻修改的信息
emerg ###内核崩溃等严重信息
none ###不记录任何信息


###注&＃xff1a;从上到下&＃xff0c;级别从低到高&＃xff0c;记录信息越来越少

####远程同步日志####
###实验需两台虚拟机&＃xff0c;一台作为接收端(172.25.254.127),发送端(172.25.254.227)
首先在接收端关闭防火墙

systemctl stop firewalld


打开UDP/TCP接口&＃xff0c;下面打开的是UDP

vim /etc/rsyslog.conf


重启服务systemctl restart rsyslog.service

在发送端配置文件添加接收端主机ip

vim /etc/rsyslog.conf


重启服务systemctl restart rsyslog.service
接收端测试&＃xff1a;
首先清空接收端和发送端日志&＃xff0c;方便实验结果观察
接收端动态监测查看发送过来的日志tail -f /var/log/messages
发送端连续发送

logger upper
logger happy
logger test


此时结果如下&＃xff1a;

#####journal对日志管理
journal可以直接查看系统已经生成的日志。

journalctl ###查看全部日志


journalctl -n 4 ###查看最新的四行日志


journalctl --since time ###查看从某时间开始的日志
journalctl --until time ###查看截止某个时间前的所有日志
journalctl --since time --until time ###查看时间段内的日志


journalctl -p err ###查看错误信息日志


journalctl -o verbose ###查看日志详细信息


journalctl _PID&＃61;num _COMM&＃61;sshd ###查看制定pid和命令日志信息


####journal对日志采集
journal可以直接查看当前系统中日志&＃xff0c;但是当系统重启后&＃xff0c;以前日志会消失&＃xff0c;不便于对日志保存分析和管理。不过可以通过rsyslog提供的思路&＃xff0c;将日志保存在文件中&＃xff0c;方便管理。

mkdir /var/log/journal ###创建文件保存采集的日志
chgrp systemd-journal /var/log/journal/ ###改变日志所有组
chmod g&＃43;s /var/log/journal/ ###赋予用户组s权限&＃xff0c;以后产生的所有日志文件都属于该组
kill -1 进程pid号 ###重新加载配置文件


###查看采集的日志

两种方式查看日志&＃xff0c;发现cat /var/log/journal/不能查看&＃xff0c;有局限性&＃xff1b;journal采集的日志,可以用journalctl查看