第14章Linux日志管理 openEuler系统管理与服务器配置

目录14.1项目一：Rsyslog日志访问与应用14.1.1Rsyslog日志介绍14.1.2Rsyslog日志系统的配置文件 14.1.3Rsyslog日志系统中的重要日志文件14.2项目二：日志的配置 14.2.1Logrotate日志轮转介绍 14.2.2Systemd中对日志服务的管理14.2.3利用日志定位问题 本章小结

14.1项目一：Rsyslog日志访问与应用管理员为了方便了解和维护公司的多台主机的运行情况，计划把公司多台主机的系统日志收集到一台服务器进行统一管理。首先选取一台主机作为服务器，另选一台主机作为客户端，测试是否成功收集到日志。要求分别在服务器和客户端配置Rsyslog日志系统，保证服务端可以实时收到客户端的日志信息。服务器端IP地址是192.168.137.129。效果：在客户端输入测试日志信息“Thisistestmessage”，服务器可以实时收到并查看日志信息。序号知识点详见章节1了解Rsyslog日志系统14.1.1节2Rsyslog日志系统中配置文件14.1.2节3重要日志文件14.1.3节

14.1项目一：Rsyslog日志访问与应用在本项目中，管理员需要在两台主机上实施操作，一台作为服务器，另一台作为客户端。分析如下：①安装：在两台主机上分别安装Rsyslog软件包，软件包的安装可以使用DNF工具来实现，启动rsyslogd服务。②修改服务器主配置文件：在服务器端设置并开启UDP和TCP的端口，默认端口号设为514。③配置防火墙：在服务器上允许TCP和UDP协议访问默认端口514。④修改客户端主配置文件：客户端设置向服务器的IP地址发送UDP协议和TCP协议。⑤重启rsyslogd服务：修改完配置文件后保存并重启服务。⑥测试：测试阶段需要在客户端的终端输入日志信息，在服务端可以查看实时的日志记录。

14.1.1Rsyslog日志介绍Syslogd服务是最早的基于Syslog协议的系统日志服务，负责在Linux系统中管理日志。作为日志管理的核心工具，Syslogd服务用于接收、存储和转发日志消息，包含了操作系统、应用程序以及网络设备的日志。由于扩展性不足、功能单一等问题，后期出现了Syslogd的优化版本—Rsyslogd。Rsyslog作为一个收集、传输、存储和分析日志的日志管理工具，广泛应用于Linux系统中。它可以将日志存储在本地的文件系统中，也可以将日志集中化管理。默认情况下，生成的日志文件存放于/var/log目录下，可以通过全局配置文件/etc/rsyslog.conf修改日志存储路径；如果集中化管理，需要设定一台中央服务器收集客户端的日志文件，系统管理员可以在一个中心节点查看每个客户端的所有日志，并且所有日志都会保存在中央服务器上。

14.1.1Rsyslog日志介绍Rsyslog日志管理系统中消息流传递过程是从日志产生开始，经过输入模块-预处理模块-主队列-过滤模块-执行队列-输出模块，最后达到目标位置。日志文件的数据源包含了系统日志、应用日志、网络设备日志以及远程服务器的日志等；输入模块会从不同的端口监听不同的日志来源，例如UDP端口、TCP端口等，由此日志消息通过输入模块被接收，例如imudp模块接收通过UDP传输的日志消息、imtcp模块接收TCP传输的日志消息，输入模块处理这些消息并把它们交给Rsyslogd服务的核心部分进行下一步处理；Rsyslog日志系统的核心部分是日志处理，包括了预处理模块、主队列过滤模块和执行队列，预处理模块主要解决各种Rsyslog协议间的差异，主队列负责消息的存储，从输入模块传入的未经过过滤的消息经过预处理模块加工，被放到主队列中，经过过滤后的消息被放在不同的执行队列中，再由执行队列送到各个输出模块。如图所示Rsylog日志系统架构。

14.1.1Rsyslog日志介绍

14.1.1Rsyslog日志介绍输入模块主要包括imtcp、imudp、imklg、imsock、imfile、imrelp等输入模块名称功能imtcp通过TCP协议接收远程日志imudp通过UDP协议接收远程日志imklg接收来自本地系统的日志信息（通常是系统日志）imsock通过原始套接字接收日志消息（比如通过网络接口接收日志数据）imfile读取文件中的日志数据并将其传输给Rsyslog进行处理

14.1.1Rsyslog日志介绍输出模块主要包括omfile、omfwd、omstdout、ommysql、ompgsql等。输出模块名称功能omfile用于将日志输出到本地文件omfwd用于将日志转发到远程Syslog服务器（支持UDP和TCP）o