一、syslog服务简介
rsyslog 是一个 syslogd 的多线程增强版。rsyslog负责写入日志, logrotate负责备份和删除旧日志, 以及更新日志文件
logger命令
将自定义的信息写入到本地日志系统需要用到:logger 命令
logger 是一个shell 命令接口,可以通过该接口使用Syslog的系统日志模块,还可以从命令行直接向系统日志文件写入一行信息
logger -it error -p local5.info "hello world"
-i 在每行都记录进程ID
-t 日志中的每一行都加一个error标签
-p 指定自定义的日志设备和日志级别,相关内容参见文章附录
日志类型
| 日志类型 | 说明 |
|---|---|
| auth | pam产生的日志 |
| authpriv | ssh,ftp等登录信息的验证信息 |
| cron | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| 邮件 | |
| mark(syslog) | rsyslog服务内部的信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unix to unix copy, unix主机之间相关的通讯 |
| local1~7 | 自定义的日志设备 |
日志级别
| 级别 | 说明 |
| debug | 有调式信息的,日志信息最多 |
| info | 一般信息的日志,最常用 |
| notice | 最具有重要性的普通条件的信息 |
| warning | 警告级别 |
| err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
| crit | 严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
| alert | 需要立刻修改的信息 |
| emerg | 内核崩溃等严重信息 |
| none | 什么都不记录 |
二、syslog服务配置
[root@localhost]# yum install rsyslog rsyslog-mysql logrotate [root@localhost]# service rsyslog status rsyslogd (pid 24331) is running... [root@localhost]# ps -ef | grep rsyslogd | grep -v grep root 24331 1 0 20:26 ? 00:00:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 2 -r -x -m 180
server:
配置rsyslog
[root@localhost]# vim /etc/sysconfig/rsyslog 1 # Options for rsyslogd 2 # Syslogd options are deprecated since rsyslog v3. 3 # If you want to use them, switch to compatibility mode 2 by "-c 2" 4 # See rsyslogd(8) for more details 5 # SYSLOGD_OPTIONS="-c 5" 6 SYSLOGD_OPTIONS="-c 2 -r -x -m 180" 7 KLOGD_OPTIONS="-x"
各参数作用:
-c 指定运行兼容模式。
-r 指定监听端口。 默认514
-x 在接收客户端消息时,禁用DNS查找。需和-r参数配合使用。
-m 标记时间戳。单位是分钟,为0时,表示禁用该功能。
编辑rsyslog.conf 开启相关属性
$ModLoad immark
$ModLoad imudp
$UDPServerRun 514
查看是否启动
[root@localhost]# netstat -nultp | grep 514 udp 0 0 0.0.0.0:514 0.0.0.0:* 24331/rsyslogd udp 0 0 :::514 :::* 24331/rsyslogd
Client:
编辑rsyslog.conf 新增以下:
*.* @192.168.1.10
-
第一个*号字段为什么服务如:mail、kernel、ftpd等,这里的*号代表所有服务
-
第二个*号字段为记录相应服务的日志级别如info、warn、err等,这里*号代表说有级别,即所有服务的说有日志都会发送到192.168.1.10这台主机上
记录日志(有一个很实用的功能记录服务器执行的history)
这里有多种方法
第一种
修改bash源码,重新编译
# wget http://ftp.gnu.org/gnu/bash/bash-4.2.tar.gz # tar zxvf bash-4.2.tar.gz -C /usr/local/bash-4.2 # cd /usr/local/bash-4.2 。。。
可以参见 http://levichen.logdown.com/posts/2013/11/04/syslog-record-history
第二种 使用trap (Just add the following lines in your /etc/profile)
function log2syslog
{
declare command
command=$(fc -ln -0)
logger -p local1.notice -t bash -i — $USER : $command
}
trap log2syslog DEBUG
第三种 (Just add the following lines in your /etc/profile)
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
export PROMPT_COMMAND='{ command=$(history 1 | { read x y; echo $y; }); logger -p local1.notice -t bash -i "user=$USER,from=$SSH_CLIENT,pwd=$PWD,command:$command"; }'
alias precmd "history 1 | /bin/logger -p local1.notice -t `echo $SHELL`:`whoami`:`pwd`:`ip r l |cut -d' ' -f12` -i "
PROMPT_COMMAND='history -a >(tee -a ~/.bash_history | logger -t "$USER[$$] $SSH_CONNECTION")'
export PROMPT_COMMAND='if [ "$(id -u)" -ne 0 ]; then echo "$(date "+%Y-%m-%d.%H:%M:%S") $(pwd) $(history 1)" >> ~/.logs/bash-history-$(date "+%Y-%m-%d").log; fi'
有好多种方式来记录,我采用第二条命令
三、rsyslog server文件配置
修改配置文件
vim /etc/rsyslog.d/50-default.conf
添加内容
*.* /var/log/remotehost.log
新建保存日志文件
touch /var/log/remotehost.log
重启rsyslog server,用tail动态查看
tail -f /var/log/remotehost.log
参考文章
http://levichen.logdown.com/posts/2013/11/04/syslog-record-history