日志相关介绍：

1.系统日志：是记录了历史事件：包括时间地点人物事件等。日志级别：事件的关键性程度，Loglevel。

级号	消息	级别	说明
0	EMERG	紧急	会导致主机系统不可用的的情况
1	ALERT	警告	必须马上采取措施解决的问题
2	CRIT	严重	比较严重的情况
3	ERR	错误	运行出现错误
4	WARNING	提醒	可能会影响系统功能的事情
5	NOTICE	注意	不会影响系统但值得注意
6	INFO	信息	一般信息
7	DEBUG	调试	程序或系统调试信息等

rsyslog系统日志服务是软件帮助管理日志。

2.主要日志文件介绍：

内核及公共消息日志：/var/log/messages

计划任务日志：/var/log/cron

系统引导日志：/var/log/dmesg

邮件系统日志：/var/log/maillog

用户登录日志：/var/log/lastlog；/var/log/secure；/var/log/wtmp；/var/run/btmp

日志	作用	命令
btmp	查看登录失败的用户	lastb
lastlog	查看用户最后一次登录的情况	lastlog
wtmp	用户成功登录的日志	last

3.查看配置文件：rpm -qc rsyslog看到配置文件在/etc下的rsyslog.conf文件。

程序包：rsyslog。主程序：/usr/sbin/rsyslogd。库文件：/lib64/rsyslog/*.so

打开rsyslog的配置文件。vim /etc/rsyslog.conf。可以看到该文件中有三部分组成：

MODULES：相关模块配置；

GLOBAL DIRECTIVES：全局配置；

全局配置

RULES：日志记录相关的规则配置；如图：

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

*.info：*代表任意程序的日志,级别在info及以上就会生成日志文件并记录在指定的日志文件中。除了mail,authpriv,cron不记日志。none：没有级别，即不记录。

/var/log/messages：日志文件路径。

在RULES中还有一行：

这里的local7.* /var/log/boot.log是自定义的分类，范围在：local0-local7。这里的是默认的。

实验一：ssh日志的独立

步骤：1.修改日志配置文件(不知道在哪里，可以rpm -qc rsyslog查询)。2.修改ssh配置文件。3.重启服务。4.测试。

查询配置文件：rpm -qc rsyslog。配置文件：/etc/rsyslog.conf

1.打开配置文件：vim /etc/rsyslog.conf，在RULES下修改：自定义的配置文件。我在根下创建了一个data目录

2.打开ssh的配置文件，在/etc/ssh/sshd_config，复制32行，粘贴到33行，可以删除32行，最好注释就行以防以后找不到

3.重启服务：systemctl restart sshd rsyslog.service。关闭防火墙，关闭核心防护。重启服务。

4.测试：实时查看日志文件：tail -f /data/ssh.log

用另一台机器7-2远程登录7-1：ssh 192.168.114.10:

实时查看7-1的日志信息：

完成！

实验二：ssh远程日志

步骤：1.修改两台机器的配置文件。2.重启服务。3.测试。

还原实验一的修改信息或者直接还原快照！重新来做实验二

远程日志就是把日志写到远端机器上去。做把7-1的日志信息，远程到7-2机器上。即7-1机器是客户端，7-2机器是服务端

1.修改配置文件：

打开vim /etc/rsyslog.conf。把MODULES模块的19行20行打开，使用TCP服务，514是端口号

两台机器都要打开这两行！！！

7-1还要再修改RULES模块:日志的位置。默认在7-2机器中/var/log/messages日志中生成。

一个@符代表UDP连接，两个@代表TCP连接。我们开启的是TCP。指定远程到的机器上。

2.重启服务：systemctl restart rsyslog.service。两台机器都要重启服务，关闭防火墙，关闭核心防护，查看端口是否开启。

3.测试：实时查看服务端的日志文件：tail -f /var/log/messages

在7-1机器中写入日志文件，测试：logger "Log file from 192.168.114.10"写日志进去.实时观察服务端日志信息。

实时查看服务端日志文件：

endl