摘要:syslog是早期的centos版本的日志收集器,從centos6.0開始,rsyslog就代替了syslog,成為默認日志服務系統。rsyslog日志收集器介紹:rsyslogd的進程名為rsyslogd;rsyslog的配置文件為/etc/rsyslog.conf。rsyslog的特性:1、多線程;2、支持UDP,TCP,SSL;3、存儲日志信息與MYSQL、PGSQL等數據庫管理系統兼容;4、強大的過濾器,實現過濾日志信息中任何部分的内容;5、自定義輸出格式。本文将介紹rsyslog日志的配置與使用,詳情請看下文。
一、登陸Linux系統
1、登陸系統
2、查看系統日志
二、Rsyslog日志系統配置
1、日志文件格式
日志服務rsyslogd記錄的日志文件,其格式是一樣的。
基本日志格式包含以下内容:1、事件産生的時間;2、發生事件的服務器的主機名;3、産生事件的服務名或程序名;4事件的具體信息(具體日志信息)。下面以/var/log/messages為例:
2、rsyslogd服務的配置文件
rsyslog.conf配置文件的位置為/etc/rsyslog.conf。具體配置信息如下圖
3、rsyslog服務名稱
rsyslogd服務可以識别以下服務的日志,也可以理解為,以下這些服務委托了rsyslogd服務來代為管理日志。
服務名稱 |
說明 |
auth (LOG_AUTH) |
安全和認證相關消息。 |
authpriv (LOG_AUTHPRIV) |
安全和認證相關消息(私有的)。 |
cron (LOG_CRON) |
系統定時任務cront和at産生的日志。 |
daemon (LOG_DAEMON) |
和各個守護進程相關的日志。 |
ftp (LOG_FTP) |
ftp守護進程産生的日志。 |
kern (LOG_KERN) |
内核産生的日志(不是用戶進程産生的)。 |
local0-local7 (LOG_LOCAL0-7) |
為本地使用預留的服務。 |
lpr (LOG_LPR) |
打印産生的日志。 |
mail (LOG_MAIL) |
郵件收發信息。 |
news (LOG_NEWS) |
與新聞服務器相關的日志。 |
syslog (LOG_SYSLOG) |
由syslogd服務産生的日志信息(雖然服務名稱已經改為rsyslogd,但是很多配置都還是沿用了syslogd的,這裡并沒有修改服務名)。 |
user (LOG_USER) |
用戶等級類别的日志信息。 |
uucp (LOG_UUCP) |
uucp子系統的日志信息,uucр是早Linux系統進行數據傳遞的協議,後來也常用在新聞組服務中。 |
4、rsyslog日志等級
debug日志等級最低,emerg 日志等級最高。日志等級低,他記錄的日志信息可能就會多些。
等級名稱 |
說明 |
debug (LOG_DEBUG) |
一般的調試信息說明。 |
info (LOG_INFO) |
基本的通知信息。 |
notice (LOG_NOTICE) |
普通信息,但是有一定的重要性。 |
warning (LOG_WARNING) |
警告信息,但是還不會影響到服務或系統的運行。 |
err (LOG_ERR) |
錯誤信息,一般達到err等級的信息,已經可以影響到服務或系統的運行了。 |
crit (LOG_CRIT) |
臨界狀況信息,比err等級還要嚴重。 |
alert (LOG_ALERT) |
警告狀态信息,比crit還要嚴重。必須立即采取行動。 |
emerg (LOG_EMERG) |
疼痛等級的日志信息,系統已經無法使用了。 |
* |
代表所有日志等級,比如:authpriv.*代表authpriv認證信息服務産生的日志,所有的日志等級都記錄。 |
三、Rsyslog自定義日志
日常工作中,可能需要對某些日志信息做一些操作。通過自定義的日志信息,按照自己習慣或者方便查看的方式定義日志信息格式,作為模闆,能夠更好的分析和管理日志。
1、編輯rsyslog配置文件
執行指令# vim /etc/rsyslog.conf,寫入自定義的日志信息配置,比如将所有服務的“錯誤信息”以上的錯誤都保存在/var/log/err.log日志文件中。如下圖
2、重啟rsyslog服務
執行指令# systemctl restart rsyslog重啟日志服務。如下圖
3、查看rsyslog自定義日志
重啟rsyslog服務完成後,查看/var/log/目錄下,是否有err.log文件。
備注:查看到了err.log日志文件,說明上面配置的"*.err"自定義日志生效了。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!