/var/log/messages###记录服务信息系统报错信息等/var/log/secure###存放用户认证相关信息的日志/var/log/cron###定时任务日志/var/log/maillog###系统中邮件服务日志/var/log/boot.log###系统启动相关日志
###查看系统日志文件的权限 
> /var/log/messages###清空日志systemctl restart sshd.service###重启sshd服务cat /var/log/messages###查看日志
#####日志管理rsyslog服务 ###rsyslog服务简介rsyslog是一个日志管理系统可通过UDP/TCP协议提供日志记录服务并且对采集日志可以自定义格式输出 rsyslog主配置文件在 /etc/rsyslog.conf 辅助配置文件在/etc/rsyslog.d/*.conf #####日志类型
auth ###pam产生的日志authpriv###ssh, ftp等登录信息的验证信息cron###时间任务相关kern###内核lpr###打印mail###邮件mark(syslog)-rsyslog###服务内部的信息时间标识news###新闻组user###用户程序产生相关信息uucp###Unix to Unix copylocal 1~7###自定义的日志设备
###日志级别
debug###调试信息的日志最多info###一般信息的日志最常用notice###最具有重要性的普通条件的信息warning###警告级别err###错误界别阻止某功能或模块正常工作的信息crit###严重级别阻止系统或整个软件正常工作的信息alert###需要立刻修改的信息emerg###内核崩溃等严重信息none###不记录任何信息
###注从上到下级别从低到高记录信息越来越少
####远程同步日志#### ###实验需两台虚拟机一台作为接收端(172.25.254.127),发送端(172.25.254.227) 首先在接收端关闭防火墙
systemctl stop firewalld
打开UDP/TCP接口下面打开的是UDP
vim /etc/rsyslog.conf
在发送端配置文件添加接收端主机ip
vim /etc/rsyslog.conf
logger upperlogger happylogger test
此时结果如下
#####journal对日志管理 journal可以直接查看系统已经生成的日志。
journalctl ###查看全部日志
journalctl -n 4 ###查看最新的四行日志
journalctl --since time###查看从某时间开始的日志journalctl --until time###查看截止某个时间前的所有日志journalctl --since time --until time###查看时间段内的日志
journalctl -p err###查看错误信息日志
journalctl -o verbose ###查看日志详细信息
journalctl _PIDnum _COMMsshd ###查看制定pid和命令日志信息
####journal对日志采集 journal可以直接查看当前系统中日志但是当系统重启后以前日志会消失不便于对日志保存分析和管理。不过可以通过rsyslog提供的思路将日志保存在文件中方便管理。
mkdir /var/log/journal###创建文件保存采集的日志chgrp systemd-journal /var/log/journal/###改变日志所有组chmod gs /var/log/journal/###赋予用户组s权限以后产生的所有日志文件都属于该组kill -1 进程pid号###重新加载配置文件
###查看采集的日志 