日志:
历史事件:时间,地点,人物,事件日期时间
事件记录格式:
日期时间主机进程(pid):事件内容
C/S架构:通过TCP或UDP协议的服务完成日志记录传送,将分布在不同主机的日志实现集中管理
rsyslog
?rsyslog特性:CentOS6和7 ?多线程
?TCP, UDP SSL、TLS RELP
?MySQL, PGSQL,甲骨文实现日志存储
?强大的过滤器,可实现过滤记录日志信息中任意部分
?自定义输出格式
[root@node4 ~] # rpm - q rsyslog #查询rsyslog日志包
rsyslog el7.x86_64——8.24.0 - 12.
# rpm ql rsyslog (root@node4 ~)/etc/logrotate.d/syslog/etc/pki/rsyslog/etc/rsyslog.conf/etc/rsyslog.d/etc/sysconfig/rsyslog/usr/bin/rsyslog-recover-qi.pl/usr/lib/systemd/system/rsyslog.服务 麋鹿:elasticsearch, logstash, kibana
?非关系型分布式数据库
?基于apache软件基金会雅加达项目组的项目lucene
?Elasticsearch是个开源分布式搜索引擎
?Logstash对日志进行收集,分析,并将其存储供以后使用
?kibana可以提供的日志分析友好的Web界面
rsyslog
?程序包:rsyslog
?主程序:/usr/sbin/rsyslogd
?CentOS 6:服务rsyslog{开始| | |重新启动停止状态}? CentOS 7:/usr/lib/systemd/系统/rsyslog。服务
?配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*。参看
?库文件:/lib64/rsyslog/*。所以
配置文件格式:由三部分组成
模块:相关模块配置
全球指令:全局配置
规则:日志记录相关的规则配置
rsyslog
?规则配置格式:facility.priority;设施。优先…目标
?设施:*:所有的设施
facility1 facility2, facility3,……:指定的设备列表
?优先级:*:所有级别
没有:没有级别,即不记录
优先:指定级别(含)以上的所有级别
=的优先级:仅记录指定级别的日志信息
?目标:
文件路径:通常在/var/log/文件路径前的——表示异步写入
用户:将日志事件通知给指定的用户,*表示登录的所有用户
日志服务器:@host,把日志送往至指定的远程服务器记录
管道:|命令,转发给其它命令处理
出发日志工具:记录器
root@node4 ~ #记录器”这是一个测试日志”
#尾/var/log/messages root@node4 ~
1月18日17:40:01 node4 systemd: 27根用户启动会话。
1月18日17:46:26 node4 dbus[626]:[系统]通过systemd激活:服务名称=皁rg.freedesktop.PackageKit”单位=皃ackagekit.service”
1月18日17:46:26 node4 dbus-daemon: dbus[626]:[系统]通过systemd激活:服务名称=皁rg.freedesktop.PackageKit”单位=皃ackagekit.service”
1月18日17:46:26 node4 systemd: PackageKit守护进程开始…
1月18日17:46:26 node4 dbus[626]:【系统】成功激活的服务“org.freedesktop.PackageKit”
1月18日17:46:26 node4 dbus-daemon: dbus[626]:【系统】成功激活的服务“org.freedesktop.PackageKit”
1月18日17:46:26 node4 systemd:开始PackageKit守护进程。
1月18日17:50:01 node4 systemd: 28根用户启动会话。
1月18日17:50:01 node4 systemd: 28根用户启动会话。
1月18 17:51:03 node4根:这是一个测试日志 [root@node4 ~] # egrep - v/etc/rsyslog.“^ $ | #”参看#查看配置文件相关的日志路径
美元WorkDirectory/var/lib/rsyslog
美元ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
美元IncludeConfig/etc/rsyslog.d/*.conf
$ OmitLocalLogging> root@node4 ~ # ssh 192.168.137.47
root@192.168.137.47的密码:
#尾/var/log/secure root@node4 ~
1月18日18:14:56 node4 sshd [4090]: pam_unix (sshd: auth):验证失败;logname=uid=0 euid=0 tty=ssh诡计=rhost=192.168.137.47用户=根
1月18日18:14:56 node4 sshd [4090]: pam_succeed_if (sshd: auth):要求“uid祝辞=1000”不了用户“根”
1月18日18:14:58 node4 sshd[4090]:从192.168.137.47端口52894 ssh3失败的根密码
root@node4 ~ # egrep - v”^ $ | ^ #”/etc/ssh/sshd_config | grep SyslogFacility
SyslogFacility AUTHPRIV
定义日志日志路径;
[root@node4 ~] # vim + 33/etc/ssh/sshd_config
33 SyslogFacility local7
34 LogLevel信息
# vim/etc/rsyslog.d/sshd.conf root@node4 ~
1 local7。*/var/log/sshd.log
root@node4 ~ # systemctl rsyslog重新启动sshd
(root@node4 ~) # ps辅助| grep rsyslogd (rpm - q rsyslog/rpm ql rsyslog。美元包)
4665 0.0 0.2 275560 2668根?Ssl 18:49 0:00/usr/sbin/rsyslogd - n
根4700 0.0 0.0 112660 968分/1 S + 18:50 0:00 grep汽车rsyslogd——颜色=# ssh 192.168.137.47 root@node4 ~
root@192.168.137.47的密码:
没有权限,请再试一次。
root@192.168.137.47的密码:
没有权限,请再试一次。
root@192.168.137.47的密码:
没有权限(publickey、密码)。
#尾/var/log/sshd.log root@node4 ~
1月18日18:49:08 node4 sshd[4664]:服务器监听>
日志服务器:@host,把日志送往至指定的远程服务器记录
源主机:192.168.137.47 node4
目标主机:192.168.137.37 node3
#猫/etc/rsyslog.d/sshd.conf root@node4 ~
local7。*/var/log/sshd.log
# udp
local2。* @192.168.137.37
# tcp
# local7。* @@192.168.137.37
#猫/etc/rsyslog. root@node3 ~参看| grep a1美元ModLoad imudp
美元ModLoad imudp
UDPServerRun 514美元
#猫/etc/rsyslog. root@node3 ~conf | grep local2。*
local2。*/var/log/udp.log
测试:
# ssh 192.168.137.47 root@node4 ~
root@192.168.137.47的密码:
#尾/var/log/udp. root@node3 ~日志- f
1月18日22:00:59 node4 sshd[7903]:从192.168.137.47根端口52916 ssh3接受密码
1月18日22:01:24 node4 sshd[7903]:收到192.168.137.47端口52916:11:断开断开连接的用户
null
null
null
null
null
null
null
