处理日志的进程

rsyslogd :绝大部分日志记录,和系统操作有关,安全,认证 sshd,su ,计划任务 at,cron httpd/nginx/mysql 等等应用可以以自己的方式记录日志 

  1. [root@localhost ~]# ps aux |grep rsyslogd
  2. root 6789 0.2 0.2 216416 4068 ? Ssl 14:17 0:00
  3. /usr/sbin/rsyslogd -n

日志可以存放在本地
日志可以存放在远程服务器

常见的日志文件(系统,进程,应用程序)

EYM[]Q6W$VW0TJ7BRJZCNR6.png

案例一:统计登陆失败top5

  1. [root@localhost ~]# grep 'Fail' /var/log/secure |awk '{print $11}' |sort |uniq -
  2. c |sort -k1 -n -r |head -5
  3. 779 hadoop
  4. 501 test
  5. 261 183.240.132.21
  6. 224 user
  7. 21 195.54.160.183

案例二:统计登陆成功

  1. [root@localhost ~]# grep 'Accepted' /var/log/secure |awk '{print $(NF-3)}' |sort
  2. |uniq -c
  3. 4 117.90.214.165
  4. 2 122.194.35.187

案例三:查看网卡是否已被驱动

  1. [root@localhost ~]# grep -i eth /var/log/dmesg
  2. [ 2.090634] e1000 0000:02:01.0 eth0: (PCI:66MHz:32-bit) 00:0c:29:bb:9a:bb
  3. [ 2.090642] e1000 0000:02:01.0 eth0: Intel(R) PRO/1000 Network Connection

rsyslogd子系统

  1. [root@localhost ~]# rpm -qc rsyslog
  2. /etc/logrotate.d/syslog # 日志轮转(切割)相关
  3. /etc/rsyslog.conf # rsyslogd的主配置文件
  4. /etc/sysconfig/rsyslog # rsyslogd相关文件
  1. [root@localhost ~]# vim /etc/rsyslog.conf
  2. # 告诉rsyslogd进程 哪个设备(facility),关于哪个级别的信息,以及如何处理
  3. authpriv.* /var/log/secure
  4. mail.* -/var/log/maillog
  5. cron.* /var/log/cron
  6. *.emerg :omusrmsg:*
  7. authpriv.* * # 所
  8. 有终端
  9. authpriv.* @192.168.1.123 #
  10. UDP
  11. authpriv.* @@192.168.1.123 #
  12. TCP

设备facility相关内容,查看man手册https://man7.org/linux/man-pages/man3/syslog.3.html
![4ZVV1H7]3ATON$19~2C8YJ.png

![R6C)OH(3HA(8P2(6T3V`1K.png