1、自定义日志 日志文件一般存放在 /var/log 下面 现在我们到rsyslog文件系统下面去添加我们自定义的日志文件 [root@localhost ~]# vim /etc/rsyslog.
1、自定义日志
日志文件一般存放在 /var/log 下面
现在我们到rsyslog文件系统下面去添加我们自定义的日志文件
[root@localhost ~]# vim /etc/rsyslog.conf 
文件/var/log/my* 都是我们自定义的日志文件。
日志文件的定义规则如下
日志类型:
Numerical Facility
Code
0 kernel messages
1 user-level messages
2 mail system
3 system daemons
4 security/authorization messages (note 1)
5 messages generated internally by syslogd
6 line printer subsystem
7 network news subsystem
8 UUCP subsystem
9 clock daemon (note 2)
10 security/authorization messages (note 1)
11 FTP daemon
12 NTP subsystem
13 log audit (note 1)
14 log alert (note 1)
15 clock daemon (note 2)
16 local use 0 (local0)
17 local use 1 (local1)
18 local use 2 (local2)
19 local use 3 (local3)
20 local use 4 (local4)
21 local use 5 (local5)
22 local use 6 (local6)
23 local use 7 (local7)
Note 1 - Various operating systems have been found to utilize
Facilities 4, 10, 13 and 14 for security/authorization,
audit, and alert messages which seem to be similar.
Note 2 - Various operating systems have been found to utilize
both Facilities 9 and 15 for clock (cron/at) message
告警级别的定义如下:
Numerical Severity
Code
0 Emergency: system is unusable
1 Alert: action must be taken immediately
2 Critical: critical conditions
3 Error: error conditions
4 Warning: warning conditions
5 Notice: normal but significant condition
6 Informational: informational messages
7 Debug: debug-level messages
写好后保存,重启rsyslog
[root@localhost ~]# service rsyslog restart
重启好后,用[root@localhost ~]# ls /var/log 查看log目录下面是否已经建好我们自己的日志文件
已经有我们自己建的my* 文件,现在我们来验证
用logger命令:
[root@localhost ~]# logger -p mail.debug greenisthenewblack
现在我们打开mymail 和mydebug 文件下面应该会有我们写下的greenisthenewblack
从验证来看已经成功,我们可以用自己新建的日志文件收集日志了。
二、日志收集功能
现在我们来让主机收集我们客户端即虚拟机上的日志信息
ssh root@min //登录虚拟机
[root@localhost ~]# vi /etc/rsyslog.conf //将我主机的IP地址添加到虚拟机的文件中,这样我的主机就可是收集到虚拟机的实时信息了
客户端上 *.* @server-ip :514 -------->tcp
*.* @@server-ip:514 ---------->udp
现在回到主机上:
[root@localhost ~]# vim /etc/rsyslog.conf //将tcp 和 udp 的协议都打开。
现在在主机上查看我们在虚拟机上收集到的日志。messge 即为我们收集到的虚拟上的日志信息。
优化:
一、不同的客户端保存为不同的文件
优化: 1.不同的客户端保存为不同的文件 把以下内容添加进rsyslog.conf文件中$template Remote,"/var/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log":fromhost-ip, !isequal, "127.0.0.1" ?Remote保存重启 2.轮询日志,日志切割 /etc/logrotate.conf /etc/logrotate.d/ /var/log/log-file { daily rotate 5 compress delaycompress missingok notifempty create 644 root root postrotate /usr/bin/killall -HUP rsyslogd endscript } /var/log/log-file { size=50M rotate 5 create 644 root root postrotate /usr/bin/killall -HUP rsyslogd endscript }logrotate -vf /etc/logrotate.conf
