rsyslog是syslog的升级版,提供了多线程、多协议支持以及强大的过滤器和自定义输出格式等功能。
主要用来采集日志,不生产日志。它能够记录系统内核、服务、应用程序等产生的日志信息,并可以将这些日志信息保存到本地文件、数据库或远程日志服务器中。
1、配置方式
rsyslog.service/etc/rsyslog.conf/etc/rsyslog.d/*.conf
2、日志相关
(1)日志级别(级别越高,记录的日志信息越少):
debug //调试info //最常用的日志级别,用于记录正常的系统运行信息。notice //重要性的普通条件的信息warning //警告级别,用于记录可能引发问题的情况error //错误级别,记录阻止某个功能或模块不能正常工作的信息。critical //严重级别,记录阻止整个系统或整个软件不能正常工作的信息。alert //系统或应用程序出现了非常严重的问题emergenc //内核崩溃等严重信息,这是最高的日志级别
(2)facility:用于定义日志消息的来源,方便对日志进行分类。
auth(认证相关)cron(计划任务相关)daemon(系统服务相关)kern(内核相关)mail(邮件相关)
| 文件 | 说明 | 查看方法 |
| cron | 系统定时任务相关的日志 | - |
| cups | 打印信息的日志 | - |
| dmesg | 开机时内核自检的信息。 | dmesg命令 |
| btmp | 记录错误登录的日志。这个文件是二进制文件,不能直接用Vi查看,而要使用lastb命令查看 | lastb命令 |
| lastlog | 记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件,不能直接用Vi查看。 | lastlog命令 |
| maillog | 记录邮件信息的日志,它是核心系统日志文件,其中包含了系统启动时的引导信息,以及系统运行时的其他状态消息 | - |
| messages | I/O错误、网络错误和其他系统错误都会记录到此文件中。其他信息,比如某个人的身份切换为root,以及用户自定义安装软件的日志,也会在这里列出 | - |
| secure | 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录,比如系统的登录、ssh的登录、su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 | - |
| wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。这个文件也是二进制文件,不能直接用Vi查看,而要使用last命令查看 | last命令 |
| utmp | 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样,这个文件不能直接用Vi查看,而要使用w、who、users等命令查看 | w/who/ users |
需要更改/etc/rsyslog.d/50-default.conf配置文件,并将/var/log/messages相关的几行取消注释并保存。重启服务后生效,如若无效,重启主机观察。
*.=info;*.=notice;*.=warn;\auth,authpriv.none;\cron,daemon.none;\mail,news.none -/var/log/messages
systemctl restart rsyslog.service「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
