一,日志基础
日志:记录时间,地点,任务,事件
格式:日期时间 主机 进程[pid]: 事件内容
rsyslog 特性:
多线程,UDP, TCP, SSL, TLS, RELP,MySQL, PGSQL, Oracle实现日志存储
强大的过滤器,可实现过滤记录日志信息中任意部分,自定义输出格式
日志分类:facility(不同类存放于不同文件)
auth, authpriv, cron, daemon,ftp,kern, lpr, mail, news, security(auth), user, uucp, local0-local7(自定义), syslog
配置自定义的日志设施:
在某程序配置文件内调整
SyslogFacility local0
然后在 /etc/rsyslog.conf 配置
local0.* /var/log/xxxx.log
重启rsyslogd 和该程序
日志优先级:
debug, info, notice, warn(warning), err(error), crit(critical), alert, emerg(panic)
配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/.conf,库文件:/lib64/rsyslog/* .so
配置文件的格式(三部分):
MODULES:相关模块配置
GLOBAL DIRECTIVES:全局配置
RULES:日志记录相关的规则配置
rules 配置格式: facility.priority; facility.priority… target
priority :
*: 所有级别
none PRIORITY =PRIORITY:仅记录指定级别的日志信息
target
文件路径:通常在/var/log/,文件路径前的-表示异步写入 用户:将日志事件通知给指定的用户,* 表示登录的所有用户 日志服务器:@host,把日志送往至指定的远程服务器记录 @@走tcp 管道: | COMMAND,转发给其它命令处理
启用网络日志服务(接受日志的服务器打开): 配置72服务器日志转储73
72:vim /etc/rsyslog.conf authpriv.* @192.168.36.72 73:#### MODULES ##### Provides UDP syslog reception$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception$ModLoad imtcp$InputTCPServerRun 514authpriv.* /var/log/secure #不变#ssh 登陆72查看 /var/log/secure # logger "testxxx" 人为触发写入日志
其他日志文件:
/var/log/secure:系统安装日志,文本格式,应周期性分析/var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看/var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看/var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看/var/log/dmesg:系统引导过程中的日志信息,文本格式,文本查看工具查看,专用命令dmesg查看/var/log/messages :系统中大部分的信息
日志管理journalctl:
指定时间的日志:
journalctl --since="2017-10-30 18:10:30"
journalctl --since "20 min ago"
journalctl --since yesterday
journalctl --since "2017-01-10" --until "2017-01-11 03:00"
journalctl --since 09:00 --until "1 hour ago"
尾部 20 条日志 journalctl -n 20
journalctl -f 实时滚动日志显示
二,实验:rsyslog 记录到服务器数据库
1,数据库创建账户
grant all on Syslog.* to ‘loguser‘@‘192.168.36.% ‘ identified by "redhat";
2,yum -y install rsyslog-mysql
3,为syslog创建数据库表
mysql < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql (rpm -ql rsyslog-mysql )
4,配置rsyslog将日志保存到mysql中
vim /etc/rsyslog.conf
#加载模块以便rsyslog与数据库连接
$ModLoad ommysql
facility.priority :ommysql:192.168.36.73 ,Syslog,loguser, redhat (地址,databasename,user,passwd)
systemctl restart rsyslogd
5, 在72安装httpd+php
yum install httpd php php-mysql php-gd
wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.7.tar.gz
cp -a loganalyzer-4.1.5/src /var/www/html/loganalyzer
cd /var/www/html/loganalyze
touch config.php
chmod 666 config.php
访问首页
原文地址:https://www.cnblogs.com/g2thend/p/10884590.html