在RHEL5中管理日志的服务:syslog
在RHEL6中管理日志的服务:rsyslog
在RHEL7中管理日志服务:rsyslog,systemd-journald

日志配置文件语法:
日志设备(类型)+连接符+日志级别+日志处理方式

日志设备:
mail:邮件
cron:计划任务相关
kern:内核相关
auth:pam产生的入职
auythpriv:ssh ftp的登录验证信息
lpr:打印机相关
local 1-7:自定义日志设备(DHCP,自己开发的程序等等)

日志级别:
0-7数字越大日志量越大
7:debug(包含调试的信息)
6:info (日志量正常的日志)
5:notice(最具有重要性的信息)
4:warning(警告级别)
3:err(错误级别,服务功能模块不能正常工作)
2:crit(严重级别,错误可能导致系统或者服务不能正常工作)
1:alert(非常严重,需要立刻修改)
0:emerg(内核崩溃的严重信息)

连接符
123.info 代表大于等于info级别的日志(0-6)
123=info 完全是info级别
123.!info 除了info级别其他都有
123.* 代表左右级别

日志处理方式:(2种写法)
/var/log/my.log表示日志存储在本地服务器的地方
@192.168.0.254 日志存储在远程的主机上(日志集中化管理)
日志主配置文件
日志加载的模块
提供了本地产生日志管理
新版日志管理
内核相关,也是读取新版的日志

如果将当前服务器作为日志服务器的话,客户端发来日志的协议UDP和TCP

可以定义自己的日志文件

把注释消掉之后,关于内核的所有日志都会在控制台中显示出来。

所有设备除了mail设备,ssh,ftp登录认证设备,计划任务设备的所有info日志存放在/var/log/message中。(看的最多的日志文件)

认证的日志存放在/var/log/secure

计划任务日志存放在/var/log/cron

邮件信息日志存放在/var/log/maillog,前面的“-”代表异步存储,表示这个服务的日志不是特别重要

是关于引导的日志存放在/var/log/boot.log

当发生严重错误时,系统所有在用户都收到该日志

在一般情况下我们不修改rsyslog.conf,在/etc/rsyslog.d/下自定义一个日志文件
将日志存在本地的/var/log/my.log中
将日志存在192.168.1.1的日志服务器中,@为UDP传输,@@为TCP传输(确保防火墙TCP和UDP514接口开放)日志会被发送到日志服务器的/var/log/message中

重启服务之后再查看时,文件里面会存储日志信息

如果所有日志都传到日志服务器的message中,message文件很大,所以在日志服务器中指定特定IP传来的日志文件存放在特定的文件下。
从完全匹配192.168.1.11的日志文件存放到desktop.log中,并且不再存放到message中
isequal是完全匹配,~代表只存到desktop.log中