第十九章: 日志文件一
Ubuntu --- rsyslog
看鸟哥的例子就行,一开始的各种规范介绍可以先不看
1\. 简述
|---> rsyslogd : 用于记录日志文件的服务(有的服务有自己的记录系统)
|---> klogd : 登录内核产生的各项信息(略去)
|---> logrotate : 日志轮转
2\. syslogd --- Ubuntu为rsyslog
|---> 配置文件 : /etc/rsyslog.conf && /etc/rsyslog.d
|---> 只讲例子,具体的我觉得查阅手册就可以了
规则 : FILTER ACTION
1\. auth,authpriv.* /var/log/auth.log
重点理解
|---> auth
|---> .
|---> *
作用 : 总体来说就是 服务名称[.=!]信息等级 ,具体看看《鸟哥》P579-580
2\. *.*;auth,authpriv.none -/var/log/syslog
重点理解
|---> -
作用 : 先放到内存中,数据量大时放在磁盘.(当然可能不安全,会丢失信息)
3\. *.* @@example.com:18 # 使用 TCP 发送到端口18, 默认10514
*.* @192.168.0.1 # 使用 UDP 发送,默认端口514
重点理解
|----> @
|----> @@
作用 : 建立一个日志服务器,其他的主机就可以用上面这个把信息都发到那台服务器上,所以一台主机就可以看多台主机日志了
4\. :msg,contains,"[UFW " /var/log/ufw.log
重点理解
|----> contains
|----> "[UFW "
作用 : 我们肯定是希望一个服务对应一个文件,比如最好不要httpd,sshd都记录在一个文件中,所以就通过字符串匹配来获得
格式就是 :PROPERTY, [!]COMPARE_OPERATION, "STRING"
具体的比较操作可以查表(开头的那个网页链接有,直接搜索COMP...)
5\. 模板
$template DynamicFile,"/var/log/test_logs/%timegenerated%-test.log"
*.* ?DynamicFile
理解 : 定义了一个DynamicFile,然后?开头的表示是模板
作用 : 这次是用了timegenerated获取了产生log的时间,所以每次生成一个新的log,单独的这个log放在了文件夹里面单独一个文件,而不是之前全部log放在一个文件里面
6\. 其他一些TIPs
1\. Action如果想多个操作,用&链接