Linux 下的日志服務(wù)器操作

1.系統(tǒng)日志默認(rèn)分類：

/var/log/messages???????????? 系統(tǒng)服務(wù)及日志，包括服務(wù)的信息泞坦，報(bào)錯(cuò)等等

/var/log/secure????????????????? 系統(tǒng)認(rèn)證信息日志

/var/log/maillog????????????????? 系統(tǒng)郵件服務(wù)信息

/var/log/cron?? ??????????????? ? 系統(tǒng)定時(shí)任務(wù)信息

/var/log/boot.log?????? ???????? 系統(tǒng)啟動(dòng)信息

日志設(shè)備(可以理解為日志類型)：

auth?????? ??? ????????????????????? pam產(chǎn)生的日志

authpriv?? ??? ???????????????????? ssh,ftp等登錄信息的驗(yàn)證信息

cron?????? ??? ??? ? ? ? ? ? ? ?? ?? 時(shí)間任務(wù)相關(guān)

kern?????? ??? ?????????????????? ?? 內(nèi)核

lpr??????? ??? ??????????????????? ??? 打印

mail?????? ??? ?????????????????? ??? 郵件

mark(syslog)–rsyslog??????? 服務(wù)內(nèi)部的信息,時(shí)間標(biāo)識(shí)

news?????? ??? ???????????????????? 新聞組

user?????? ??? ????????????????????? 用戶程序產(chǎn)生的相關(guān)信息

uucp?????? ??? ????????????????????? unix to unix copy, unix主機(jī)之間相關(guān)的通訊

local 1~7? ??? ???????????????????? 自定義的日志設(shè)備

日志級(jí)別：

debug????? ??? ????????????????????? 有調(diào)式信息的等舔，日志信息最多

info?????? ??? ???????????????????????? 一般信息的日志外里，最常用

notice???? ??? ??????????????????????? 最具有重要性的普通條件的信息

warning??? ??? ????????????????????? 警告級(jí)別

err??????? ??? ??????????????????????? ? 錯(cuò)誤級(jí)別肋杖，阻止某個(gè)功能或者模塊不能正常工作的信息

crit?????? ??? ????????????????????????? 嚴(yán)重級(jí)別趴腋，阻止整個(gè)系統(tǒng)或者整個(gè)軟件不能正常工作的信息

alert????? ??? ????????????????????????? 需要立刻修改的信息

emerg????? ??? ?????????????????????? 內(nèi)核崩潰等嚴(yán)重信息

none?????? ??? ?????????? ? ? ? ?????? 什么都不記錄

2. 服務(wù)器端配置：打開日志配置文件/etc/rsyslog.conf

# Provides UDP syslog reception

#$ModLoad imudp

#$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

重啟rsyskog服務(wù)

3.客戶端配置

vim /etc/rsyslog.conf

若啟用UDP傳輸：添加如下1行*.* @192.168.30.254:514

若啟用TCP傳輸：添加如下1行

*.*?@@192.168.30.254:514

測(cè)試

服務(wù)器端檢查514端口是否正常

[root@localhost log]# lsof -i:514

COMMAND? ? PID USER? FD? TYPE DEVICE SIZE/OFF NODE NAME

rsyslogd 14021 root? ? 3u? IPv4? 43402? ? ? 0t0? TCP *:shell (LISTEN)

rsyslogd 14021 root? ? 4u? IPv6? 43403? ? ? 0t0? TCP *:shell (LISTEN)

rsyslogd 14021 root? 11u? IPv4? 42786? ? ? 0t0? TCP 192.168.30.254:shell->192.168.30.1:59181 (ESTABLISHED)

現(xiàn)在客戶端已經(jīng)正常連上服務(wù)端

現(xiàn)在在服務(wù)端查看日志栏饮，同時(shí)在客戶端進(jìn)行日志測(cè)試操作

服務(wù)端：

[root@localhost log]# tail -f /var/log/messages

Jul? 4 16:55:01 localhost systemd: Started Session 214 of user pcp.

Jul? 4 16:55:01 localhost systemd: Starting Session 214 of user pcp.

Jul? 4 16:55:02 localhost systemd: Removed slice user-995.slice.

Jul? 4 16:55:02 localhost systemd: Stopping user-995.slice.

Jul? 4 16:55:01 localhost systemd: Created slice user-995.slice.

Jul? 4 16:55:01 localhost systemd: Starting user-995.slice.

Jul? 4 16:55:01 localhost systemd: Started Session 65 of user pcp.

Jul? 4 16:55:01 localhost systemd: Starting Session 65 of user pcp.

Jul? 4 16:55:02 localhost systemd: Removed slice user-995.slice.

Jul? 4 16:55:02 localhost systemd: Stopping user-995.slice.

Jul? 4 16:55:46 localhost root: 12222222222222222222222222222222222222222

客戶端

logger "12222222222222222222222222222222222222222"

這樣一個(gè)簡(jiǎn)單的日志服務(wù)器就搭建完成了

但是我們會(huì)發(fā)現(xiàn)這樣的日志會(huì)和服務(wù)器端的日志都是放在同一個(gè)文件下的吧兔，這樣會(huì)產(chǎn)生很多的混亂，所以我們需要將這些日志進(jìn)行分類存放

所以我們需要以下幾點(diǎn)

1. 在/etc/rsyslog.conf中存在$IncludeConfig /etc/rsyslog.d/*.conf這么一句話袍嬉，表示它會(huì)去這個(gè)目錄下讀取以.conf為后綴的所有文件

2.

:屬性境蔼， 比較操作符， “值” 保存位置

屬性包括以下內(nèi)容

fromhost 哪個(gè)主機(jī)名發(fā)過來的

fromhost-ip 哪個(gè)ip發(fā)過來的

msg 從日志信息里的內(nèi)容判斷

hostname 從日志中的主機(jī)名判斷

比較操作符包括以下內(nèi)容

contains 包含

isequal 等于

startswith 以...開頭

原文鏈接：https://blog.csdn.net/xiayun1995/java/article/details/83962934

那我們就在日志服務(wù)器/etc/rsyslog.d/寫入一個(gè)叫192.168.30.1.conf的文件

:fromhost-ip, isequal, "192.168.30.1" /var/log/cclient/192,168.30.1.log

接下在客戶端下進(jìn)行一個(gè)簡(jiǎn)單日志操作

logger "12222222222222222222222222222222222222222"

查看服務(wù)端文件

[root@localhost cclient]# cat 192,168.30.1.log

Jul? 4 17:19:18 localhost root: 12222222222222222222222222222222222222222

日志同步成功