linux服务器日志rsyslog管理

admin

1.日志管理介绍:

a.日志服务:在CentOS6.x中日志服务以及由rsyslogd取代了原有的syslogd服务。rsyslogd日志服务更加先进，功能更多。但是不论该服务的使用，还是日子文件的格式其实都是和syslogd服务相兼容的，所以会了syslogd也就会了rsyslod服务。

b.rsyslogd的新特点：
基于TCP网络协议传输日志信息
更安全的网络传输方式
有日志消息的及时分析框架
后台数据库
配置文件中可以写简单的逻辑判断
与syslog配置文件相兼容

3.系统默认是启动的：当然我们可以查看下是否启动和是否是自动启动
pa aux | grep rsyslogd   和 chkconfig --list | grep rsyslogd
当然你也可以安装他 yum -y install rsyslogd

4.常见日志的作用:
/var/log/cron　　记录了你的定时任务日志
/var/log/cups　　记录打印信息的日志
/var/log/dmesg　　记录了系统内核开机检测信息的日志 当然也可以使用dmesg命令查看
/var/log/btmp　　记录错误登录信息日志，这个文件时二进制文件，不能直接打开。不能直接VI查看，而是使用 lastb命令查看
/var/log/lastlog　　记录系统中所有用户最后一次的登录时间的日志，这个文件也是二进制文件，不能直接vi，而要使用lastlog查看。
/var/log/mailog 　　记录邮件日志
/var/log/messages　　记录系统重要信息的日志，这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题，首先要查看的就是messages日志文件。
/var/log/secure　　记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录，比如说系统的登录，ssh的登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中。
/var/log/wtmp　　永久记录所有用户的登录、注销信息、同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi,而需要使用last命令查看
/var/run/utmp　　记录当前已经登录的用户信息，这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息，同样该文件也是二进制文件不能直接查看，而要使用w,who,users等命令来 查询


*****除啦系统默认的日志之外，采用RPM方式安装的系统服务也会默认把日志记录在/var/log下的相应服务名日志。不过这些日志不是由rsyslogd服务来记录和管理的，而是由该服务本身的日志管理文档来记录自身日志的。例如RPM安装的apache 和mysql服务

rsyslogd日志服务
1.日志文件格式
　　日志产生的时间、发生事件的服务器名、产生时间的服务名或程序名、事件的信息报告

2./etc/rsyslog.conf 配置文件
mail.*                                                  -/var/log/mail




用rsyslog的缘由：
1.防止系统崩溃无法获取系统日志分享崩溃原因，用rsyslog可以把日志传输到远程的日志服务器上
2.使用rsyslog日志可以减轻系统压力，因为使用rsyslog可以有效减轻系统的磁盘IO
3.rsyslog使用tcp传输非常可靠，可以对日志进行过滤，提取出有效的日志,rsyslog是轻量级的日志软件，在大量日志写的情况下，系统负载基本上在0.1以下