一、日志服务的介绍

介绍

程序执行的时候，可以通过标准输出（stdout, Standard Output）与标准错误输出 （stderr, Standard Error Output）来输送信息，用户就可以了解该程序执行时发生了什么状况；可是对于在背景执行的服务器程序，或者Linux 内核本身来说，就没有办法这样做了。服务与内核启动后，会切断与终端机（Terminal） 或控制台（Console）的联机，如此一来，即使有信息通过标准输出、标准错误输出传送出去，用户也未必能从屏幕上看到信息。

更何况，用户根本不可能全天候在计算机前面，盯着屏幕上显示的信息啊！为了让 管理者可以随时监控服务所产生的信息，Linux 提供了一个日志服务，该服务可以收集（Collect）任何服务传递过来的信息，储存成为记录文件（Log File） 、或直接传送给某些用户，甚至也可以传送到其他计算机的系统日志服务。

日志的作用

系统方面的问题

linux系统长时间运行，可能会出现一些软件，硬件方面的问题，这些问题都会记录到日志文件中，我们可以通过查看相应的日志文件，找出问题所在

网络服务的问题

网络服务在运行过程中产生的信息都会记录到日志文件中，一旦服务出现问题，无法正常运行，我们可以通过查看相应的日志文件就知道服务出现了什么问题

历史事件查询

由于日志服务每天都会将系统运行的信息保存到日志文件当中，所以我们也可以通过日志信息去追溯之前的系统运行状况

二、相关软件包和文件

软件包

[root@localhost ~]# rpm -qa | grep rsyslog
rsyslog-gssapi-8.37.0-9.el8.x86_64
rsyslog-relp-8.37.0-9.el8.x86_64
rsyslog-8.37.0-9.el8.x86_64
rsyslog-gnutls-8.37.0-9.el8.x86_64

相关文件

配置文件： /etc/rsyslog.conf

辅助配置文件： /etc/rsyslog.d/*.conf

日志文件存放位置： /var/log/

执行文件： /usr/sbin/rsyslogd

模块路径： /usr/lib64/rsyslog/

服务单元： /usr/lib/systemd/system/rsyslog.service

三、配置文件说明

/etc/rsyslog.conf

[root@hello yum.repos.d]# grep '####' /etc/rsyslog.conf 
#### MODULES #### 定义模块
#### GLOBAL DIRECTIVES #### 定义全局环境
#### RULES #### 定义规则
模块定义
module(load="imuxsock" # 提供对本地系统日志的支持
SysSock.Use="off") # 关闭通过本地日志接口的信息接收功能，日志信息接收通过下面的imjournal模块
module(load="imjournal" # 提供对systemd日志的访问
StateFile="imjournal.state") # 定义状态文件，rsyslog用于记录文件上传进度，避免日志内容混乱
全局环境设置
# 定义工作目录
global(workDirectory="/var/lib/rsyslog")
# 使用默认的时间戳格式
module(load="builtin:omfile" Template="RSYSLOG_TraditionalFileFormat")
# 定义辅助配置文件位置
include(file="/etc/rsyslog.d/*.conf" mode="optional")
规则设置
信息来源.安全级别 处理方式
信息来源
kern：内核相关的日志
user：用户相关的日志
mail：邮件相关的日志
daemon：系统服务相关的日志
lpr： 打印相关的日志
cron：计划任务相关的日志
authpriv:认证相关的日志
news：新闻相关的日志
uucp：文件copy相关的日志
local0-local7：自定义相关的日志信息
*： 所有
安全级别
debug: 调试
info: 消息
notice: 注意
warn,warning: 警告
err,error: 错误
crit: 严重级别
alert: 需要立即修改该的信息
emerg,panic: 内核崩溃，系统接近崩溃
*：所有日志级别
none:没有任何级别，也就是不记录日志信息
表达形式
mail.err err+crit+alert+emerg
mail.=err err
mail.!err 除了err
处理方式
/PATH/FILENAME：将信息储存至 /PATH/FILENAME文件中。注意，如果要系统日志服务把信息储存到文件，该文件必须以斜线（/） 开头的绝对路径命名之。
USERNAME：将信息送给已登录的用户。
@HOSTNAME：代表使用udp协议将信息转送到远端的日志服务器。
@@hostname：代表使用tcp协议将信息传送到远端的日志服务器
*：将信息传送给所有已登录的用户。

常见的日志文件及作用

/var/log/boot.log 系统启动时的日志。

/var/log/dnf.* dnf软件包管理器相关日志

/var/log/firewalld 防火墙日志

/var/log/lastlog 所有用户最后一次登录信息,需要使用lastlog命令查看

/var/log/maillog 电子邮件系统相关日志

/var/log/messages 整体的系统日志，具体记录范围取决于服务的配置文件

/var/log/wtmp 记录当前登录和过去登录的用户信息，使用last命令查看

日志文件的安全设置

[root@localhost ~]# chattr +a /var/log/messages 
[root@localhost ~]# lsattr /var/log/messages 
-----a------------ /var/log/messages

日志的格式

[root@localhost ~]# tail /var/log/messages 
Dec 6 03:29:09 localhost systemd[1]: Started PackageKit Daemon.
Dec 6 03:43:44 localhost systemd[1]: Starting dnf makecache...
Dec 6 03:43:44 localhost dnf[7594]: 元数据缓存近期已刷新。
Dec 6 03:43:44 localhost systemd[1]: Started dnf makecache.
DATE TIME HOSTNAME APP（NAME）[PID]: MESSAGES
每一个字段的意义如下说明：
DATE：信息发生的日期。
TIME：信息发生的时间。
HOSTNAME：信息发生的主机。
APP：产生信息的软件。
NAME：软件的名称，或是软件组件（Component）的名称。可以省略。
PID：进程标识符 （Process ID）。可以省略。
MESSAGES：信息的内容。

小结

为什么要使用日志

日志的作用

相关文件和配置文件

配置文件的说明

常见的日志文件、记录的内容

日志文件的安全设置和日志信息的格式

重点：日志服务的名称、相关配置文件、配置文件的内容，如何加强日志文件的安全，日志信息的格式

难点：配置文件中各字段的含义，日志信息的阅读。反复阅读尽快习惯格式