日志管理基础

rsyslogd：系统自带的日志管理工具
绝大部分日志记录，和系统操作有关，安全，认证 sshd,su ，计划任务 at,cron，httpd/nginx/mysql 等等应用可以以自己的方式记录日志。

[root@localhost ~]# ps aux |grep rsyslogd
root       6903  0.0  0.3 216408  6084 ?        Ssl  10:11   0:03 /usr/sbin/rsyslogd -n

日志可以存放在本地，也可以存放在远程服务器。

常见的日志文件

应用案例1：统计登录失败前5行

[root@localhost ~]# grep 'Fail' /var/log/secure |awk '{print $11}' |sort |uniq -c |sort -k1 -n -r |head -5
    779 hadoop
    501 test
    261 183.240.132.21
    224 user
     21 195.54.160.183

awk ‘{print $11}’：以空格为分隔符，打印11个字段
sort：排序
uniq -c：去除相邻的重复行
sort -k1 -n -r：指定比较第一列，比较方式为比较数值（不是字符），排序方法为降序
head -5：查看前5行

应用案例2：统计登录成功

[root@localhost ~]# grep 'Accepted' /var/log/secure |awk '{print $(NF-3)}' |sort |uniq -c
      4 117.90.214.165
      2 122.194.35.187

awk ‘{print $(NF-3)}’：倒数第四个词，NF其实是number of field，即整行词的总数

应用案例3：查看网卡是否已被驱动

[root@localhost ~]# grep -i eth /var/log/dmesg
[    7.468150] e1000 0000:02:01.0 eth0: (PCI:66MHz:32-bit) 00:0c:29:e6:a1:70
[    7.468160] e1000 0000:02:01.0 eth0: Intel(R) PRO/1000 Network Connection

rsyslogd子系统

[root@localhost ~]# rpm -qc rsyslog
/etc/logrotate.d/syslog     # 日志轮转(切割)相关
/etc/rsyslog.conf           # rsyslogd的主配置文件
/etc/sysconfig/rsyslog      # rsyslogd相关文件

[root@localhost ~]# vim /etc/rsyslog.conf
# 告诉rsyslogd进程 哪个设备(facility)，关于哪个级别的信息，以及如何处理
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
authpriv.*                                              *                   # 所
有终端
authpriv.*                                              @192.168.1.123      # 
UDP
authpriv.*                                              @@192.168.1.123     # 
TCP

设备facility相关内容，查看man手册https://man7.org/linux/man-pages/man3/syslog.3.html