查看安装
[root@mo ~]# rpm -qa | grep rsyslog
rsyslog-8.1907.0-5.p01.ky10.x86_64
[root@mo ~]# rpm -ql rsyslog //查看安装的包
官方网站
www.rsyslog.com
RSYSLOG的设施(确认是哪一类日志)
| 设施名称 | 数值代码 | 描述 |
|---|---|---|
| kern | 0 | 内核消息(如内核崩溃、驱动错误等)。通常由操作系统内核生成。 |
| user | 1 | 用户级应用程序生成的日志(如普通用户进程、脚本输出)。 |
| 2 | 邮件系统相关日志(如 Postfix、Sendmail 等邮件服务器的日志)。 | |
| daemon | 3 | 系统守护进程日志(如 cron、sshd、httpd 等服务)。 |
| auth | 4 | 认证和授权系统日志(如 SSH 登录尝试、sudo 命令使用)。 |
| syslog | 5 | rsyslog 自身生成的日志(记录 syslog 服务的运行状态和错误)。 |
| lpr | 6 | 打印系统日志(如 CUPS 打印服务的日志)。 |
| news | 7 | 新闻系统日志(如 Usenet 新闻服务器,已很少使用)。 |
| uucp | 8 | UUCP 系统日志(用于早期 UNIX 系统间通信,已过时)。 |
| cron | 9 | 定时任务日志(如 cron 守护进程执行的计划任务)。 |
| authpriv | 10 | 与auth类似,但包含敏感信息(如密码失败记录),通常仅限 root 访问。 |
| ftp | 11 | FTP 服务日志(如 vsftpd 的登录和传输日志)。 |
| local0 | 16 | 本地自定义设施 0(供系统管理员自定义使用)。 |
| local1 | 17 | 本地自定义设施 1(同上)。 |
| local2 | 18 | 本地自定义设施 2(同上)。 |
| local3 | 19 | 本地自定义设施 3(同上)。 |
| local4 | 20 | 本地自定义设施 4(同上)。 |
| local5 | 21 | 本地自定义设施 5(同上)。 |
| local6 | 22 | 本地自定义设施 6(同上)。 |
| local7 | 23 | 本地自定义设施 7(同上)。 |
RSYSLOG的优先级
| 日志级别 | 数值 | 描述 |
|---|---|---|
| emerg | 0 | 紧急情况(系统不可用),通常会导致系统崩溃或服务中断。 |
| alert | 1 | 必须立即处理的严重问题,如硬件故障或安全漏洞。 |
| crit | 2 | critical(严重错误),影响系统功能但未完全崩溃,如服务不可用。 |
| err | 3 | error(错误),表示非紧急的错误事件,不影响系统整体运行。 |
| warning | 4 | 警告(潜在问题),可能导致未来错误的情况,如磁盘空间不足。 |
| notice | 5 | 通知(正常但需要注意的事件),如用户登录成功。 |
| info | 6 | 信息(一般信息),用于记录正常运行的信息,如服务启动或配置加载。 |
| debug | 7 | 调试信息,用于开发或故障排查,包含详细的执行流程和变量数据。 |
规则
/etc/rsyslog.conf 日志处理规则
“.”前的部分表示设施,“.”后的部分表示优先级。 .info表示存储info及info以上级别的日志。.none表示不存储该类日志。
*.info;mail.none;authpriv.none;cron.none;auth.none /var/log/messages
路径前带- 表示异步写入(先写入内存缓冲区中,后续写入磁盘,可提供更高性能,相对不重要的数据采用异步写入)
auth.* -/var/log/auth.log
配置SSH LOG
在/etc/ssh/sshd.conf中取消syslog的注释
SyslogFacility AUTH //设施可自行更改,例如LOCAL6
LogLevel INFO
在/etc/rsyslog.conf中添加针对LOCAL6的规则
local6.info /var/log/sshd.log
重启sshd与rsyslog服务:
[root@mo ~]# cat /var/log/sshd.log
May 24 22:25:07 mo sshd[2771587]: Server listening on 0.0.0.0 port 22.
May 24 22:25:07 mo sshd[2771587]: Server listening on :: port 22.
操作系统登录失败日志查看lastb
[root@mo log]# lastb
admin ssh:notty 10.100.0.2 Sun May 18 09:15 - 09:15 (00:00)
admin ssh:notty 10.100.0.2 Sun May 18 09:15 - 09:15 (00:00)
admin ssh:notty 10.100.0.2 Sun May 18 09:15 - 09:15 (00:00)
操作系统成功登录日志查看:last (-x) ,这个命令也可以查看重启时间
[root@mo log]# last
root pts/1 10.100.0.2 Sat May 24 22:27 still logged in
root pts/0 10.100.0.2 Sat May 24 20:45 still logged in
root pts/0 10.100.2.133 Wed May 21 14:45 - 14:47 (00:02)
reboot system boot 4.19.90-23.52.v2 Wed May 21 14:44 still running
root pts/0 10.100.2.133 Wed May 21 14:41 - 14:42 (00:01)
reboot system boot 4.19.90-23.52.v2 Wed May 21 14:40 - 14:43 (00:02)
查看所有账户最一次登录时间 :lastlog
[root@mo log]# lastlog
用户名 端口 来自 最后登录时间
root pts/1 10.100.0.2 六 5月 24 22:27:18 +0800 2025
bin **从未登录过**
daemon **从未登录过**
adm **从未登录过**
lp **从未登录过**
sync **从未登录过**
shutdown **从未登录过**
halt **从未登录过**
mail **从未登录过**
operator **从未登录过**
games **从未登录过**
ftp **从未登录过**
nobody **从未登录过**
sshd **从未登录过**
unbound **从未登录过**
polkitd **从未登录过**
rtkit **从未登录过**
saslauth **从未登录过**
libstoragemgmt **从未登录过**
rpc **从未登录过**
geoclue **从未登录过**
chrony **从未登录过**
pipewire **从未登录过**
mysql **从未登录过**
lightdm **从未登录过**
ldap **从未登录过**
dhcpd **从未登录过**
rpcuser **从未登录过**
cockpit-ws **从未登录过**
named **从未登录过**
setroubleshoot **从未登录过**
pulse **从未登录过**
tomcat **从未登录过**
ntp **从未登录过**
dbus **从未登录过**
dnsmasq **从未登录过**
systemd-network **从未登录过**
systemd-resolve **从未登录过**
systemd-timesync **从未登录过**
systemd-coredump **从未登录过**
开启SYSLOG 端口监听
/etc/rsyslog中添加如下配置,重启rsyslog服务
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
本地日志存储到远端服务器
*.info @10.10.10.10:514 //使用udp发送
*.info @@10.10.10.10:514 //使用tcp发送
手动生成日志
logger "a test"
扫一扫
528
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
