CentOS中系统日志信息，日志采集格式，日志远程同步，日志查看

1.日志信息

vim  /etc/rsyslog.conf  日志的配置文件

*.*                    文件名称

日志类型.日志级别      日志存放文件

其中*代表所有日志类型和日志级别

##日志类型

auth            用户登陆日志（pam产生日志）
authpriv        服务认证日志（sshd认证）
kern            内核日志
cron            定时任务日志
lpr             打印机日志
mail            邮件日志
news            新闻
user            用户相关程序日志

local 1-7       用户自定义日志

##日志级别
debug      #系统调试信息
info       #常规信息
warning    #警告信息
err        #报错（级别低，阻止了某个功能不能正常工作）
crit       #报错（级别高，阻止了整个软件或系统不能正常工作）
alert      #需要立即修改的信息
emerg      #内核崩溃

none       #不采集任何日志信息

例：可以在vim  /etc/rsyslog.conf 中写入以下日志采集格式

auth.debug    /var/log/westos

auth.*

*.*          /var/log/log.all   ##把所有日志类型和所有日志级别的内容，存放在/var/log/log.all

系统常用日志
/var/log/messages     #所有日志级别的常规信息（不包含邮件，服务认证，定时任务）
/var/log/maillog      #邮件日志
/var/log/secure       #服务认证日志

/var/log/cron         #定时任务日志

##一般查看日志采集信息前需清空之前的信息，用> /var/log/messages 可清空

2.日志远程同步(便于查看多个主机的日志信息) ##先执行这个命令 > /etc/rc.d/rc.local
##在日志发送方
vim /etc/rsyslog.conf
*.*        @172.25.254.170  #日志接收文件

systemctl  restart rsyslog

##在日志接收方
vim /etc/rsyslog.conf
15 #$ModLoad imudp   ##udp的插件

16 #$UDPServerRun 514  ##udp的接口文件

systemctl  restart rsyslog

systemctl  stop firewalld   ##关闭防火墙

systemctl  disable firewalld ##关闭开机自启动防火墙

3.定义日志采集格式

vim /etc/rsyslog.conf
$template 格式名称，“日志采集格式”

*.info;mail.none;authpriv.none;corn.none      /var/log/messages;格式名称

$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated%   #日志生成时间
%FROMHOST-IP%     #日志来源主机的ip
%syslogtag%       #日志生成程序
%msg%             #日志内容

\n                #换行

例：Apr 13 23:55:15 172.25.254.217 systemd:  Stopping System Logging Service...

4.日志查看工具
journalctl  ##日志查看工具，直接查看内存中的日志
journalctl  -n 3 ##查看最新三条日志
journalctl  -p err ##查看错误日志
journalctl  -f   ##监控日志   用户ctrl+c结束监控
journalctl  --since+时间   --until+时间

journalctl  -o verbose ##查看日志详细参数  PID=32735  journalctl _PID=32735

journalctl  --since+时间   --until+时间   ##查看从某个时间段的日志信息

journalctl  -f   ##监控日志   用户ctrl+c结束监控

journalctl  -p err ##查看错误日志

journalctl  -n 3 ##查看最新三条日志

##对systemd-journald管理
##默认此程序只负责对日志进行查看而不对日志进行保存和采集
那么关机后再开机，对日志进行查看，只能查看到开机后的日志，系统之前的日志因为是保存在内存中的，所以关机后就被清空了，那么开机时用journalctl看不到的##
###操作步骤
mkdir /var/log/journal
168  chgrp systemd-journal /var/log/journal/
169  chmod 2755 /var/log/journal/
170  killall -1 systemd-journald
171  journalctl -n 3
172  date
173  reboot

174  journalctl

本文由 CentOS中文站 - 专注Linux技术 作者：centos 发表，其版权均为 CentOS中文站 - 专注Linux技术 所有，文章内容系作者个人观点，不代表 CentOS中文站 - 专注Linux技术 对观点赞同或支持。如需转载，请注明文章来源。