LINUX日志管理-rsyslog

日志管理 日志简介:

LINUX日志就是记录系统活动记录的文件，例如如何时，何地，何人，做了是么事情，另外就是系统在什么么时候有事么样的行为，发生了什么事件。

日志功能： 解决系统故障：

这个对系统管理员来说很重要，如启动过程中检测到的硬件数据都会内存中，由于这些检测的信息可以让我们了解硬件，人所以系统发生问题时，可以执行dmesg命令来查看硬件是否出错。另外就是如果系统出现了系统资源被耗尽，核心活动发生错误，等都可能，则系统登录文件也会将错误信息记录到登陆文件，通常就是/var/log/messages,这些可以帮助你解决问题。

解决网络问题：

在安装设置新服务套件时，最常用到这个功能。例如安装sendmail和postfix服务时也会用到。如无法发送邮件等问题，那么这些问题就将记录在登录文件中，只要分析登录文件就可以解决问题的确切位置了，并能很好的解决。

记录登陆信息：

例如apache这个www服务死机了，怎么知道死机。最后的登陆者是谁，这样可以通过分析apache的登陆文件获取信等问题。
常见系统日志服务：
sysklogd(CentOS-5之前版本)包含两个软件包：(syslogd,system application)记录应用日志、(klogd,linux kernel)记录内核日志
rsyslog 特性：CentOS6 和7
特点：
多线程，支持高并发
支持以(UDP, TCP, SSL, TLS, RELP)等协议完成远程日志的记录
还支持在mysql, PGSQL, Oracle等数据库上实现日志存储
同时拥有强大的过滤器，可实现过滤记录日志信息中任意部分
（三）rsyslog.conf中日志规则的定义的格式
facitlity.priority target
"."表示记录后面等级以及以上等级
".="表示仅记录后面等级的做记录
".!"表示仅记录后面等级之外的等级
facility日志类型:

代码 意义 auth pam产生的日志，认证日志 authpriv ssh,FTP等登录信息的验证信息，认证授权认证 cron 时间任务相关 kern 内核 lpr 打印 mail 邮件 mark(syslog) rsyslog服务内部的信息,时间标识 news 新闻组 user 用户程序产生的相关信息 uucp unix主机之间相关的通讯 local0~7 自定义的日志设备

priority日志级别:

代码 意义 debug 有调式信息的，日志信息最多 info 一般信息的日志，最常用 notice 最具有重要性的普通条件的信息 warning,warn 警告级别 err,error 错误级别，阻止某个功能或者模块不能正常工作的信息 crit 严重级别，阻止整个系统或者整个软件不能正常工作的信息 alert 需要立刻修改的信息 emerg,panic 内核崩溃等严重信息 * 所有级别 none 无级别 代码 意义 文件 /var/log/messages 用户 root，*（表示所有用户） 日志服务器 @172.16.22.1 管道 COMMAND

从上到下，级别从低到高，记录的信息越来越少，如果设置的日志内性为err，则日志不会记录比err级别低的日志，只会记录比err更高级别的日志，也包括err本身的日志。
target日志目标：

代码 意义 文件 /var/log/messages 用户 root，*（表示所有用户） 日志服务器 @172.16.22.1 管道 COMMAND

日志远程服务器 @@表示tcp协议，@表示udp协议