我要评论简介
syslog 是 linux 和类 unix 系统中用于记录系统消息的标准协议。它允许应用程序、守护进程和内核将日志消息发送到集中式日志管理系统。
syslog 组件
syslog守护进程:syslogd或rsyslogd,收集并管理日志消息日志设施:日志类别(例如,auth、daemon、mail、local0-local7)
日志级别(严重级别):定义消息的优先级(例如信息、警告、错误)
日志文件位置:默认储存位置:
/var/log/syslog,/var/log/messages,/var/log/auth.log
syslog消息格式
典型的系统日志消息具有以下结构:
<priority> timestamp hostname application_name [pid]: message
示例
mar 18 12:34:56 myserver sshd[12345]: failed password for user root from 192.168.1.1 port 22 ssh2
常见的 syslog 工具
auth / authpriv:身份验证日志
cron:cron 作业日志
daemon:系统守护进程日志
kern:内核日志
mail:邮件服务器日志
syslog:内部系统日志消息
user:用户应用程序日志
local0 - local7:应用程序的自定义日志
syslog 严重性级别
| 级别 | 名称 | 描述 |
|---|---|---|
| 0 | emerg | 系统无法使用 |
| 1 | alert | 需要立即采取行动 |
| 2 | crit | 危急情况 |
| 3 | err | 错误情况 |
| 4 | warning | 警告消息 |
| 5 | notice | 正常但重要的事件 |
| 6 | info | 信息性消息 |
| 7 | debug | 调试消息 |
示例用法
查看syslog消息
cat /var/log/syslog 或 tail -f /var/log/syslog
发送自定义系统日志消息
logger -p local0.info "this is a test log message" # 将日志存储在 /var/log/syslog 中(或按照 /etc/rsyslog.conf 中的配置)
过滤特定日志
- 查看认证日志
cat /var/log/auth.log
- 查看内核日志
dmesg | tail -20
- 查看启动日志
journalctl -b
配置 syslog(rsyslog)
修改 syslog 规则
编辑 /etc/rsyslog.conf 或 /etc/rsyslog.d/*.conf
authpriv.* /var/log/auth.log *.info;mail.none;authpriv.none;cron.none /var/log/syslog
重启日志服务
sudo systemctl restart rsyslog
监控 ssh 登录尝试
- 查看失败的登录尝试
grep "failed password" /var/log/auth.log
- 查看登录成功
grep "accepted password" /var/log/auth.log
- 检查系统错误
grep "error" /var/log/syslog
集中日志记录
- 将日志发送到远程系统日志服务器(
192.168.1.100)
编辑 /etc/rsyslog.conf 并添加:
*.* @192.168.1.100:514
重启 rsyslog
sudo systemctl restart rsyslog
到此这篇关于linux syslog命令使用教程的文章就介绍到这了,更多相关linux syslog使用内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论