管理Linux日志管理：实现集中控制（linux日志集中）

UNIX系列操作系统（包括Linux）的最重要的一个管理任务之一当属日志管理，它是进行系统安全和管理的最重要手段。Linux系统拥有一个完善而又复杂的日志架构，可以满足不同管理需求。本文将针对Linux系统日志管理体系来解析Linux日志管理系统以及如何实现集中控制。

Linux系统日志体系部署在/var/log目录，是通过记录关键服务和系统进程的运行信息来检测潜在问题的重要途径，可以帮助用户及时发现系统故障，对系统的管理有着重要的意义。Linux日志管理系统一般分为5组日志：

1、系统启动和运行日志。

/var/log/boot.log：此文件含有有关系统启动和引导进程的日志。每当完成启动或系统重新启动时，该文件都会被更新。

2、应用软件日志。

/var/log/cron：此文件记录流动、定时作业计划的运行信息，比如各种脚本的自动执行情况。

3、安全日志

/var/log/auth.log：记录安全检测事件。 包括系统登录，用户登录，连接，授权，权限更改的行为等等。

4、设备与服务日志

/var/log/messages：此文件记录设备驱动程序，服务运行和其他系统消息等信息。

5、系统崩溃和恢复日志

/var/log/dmesg：此文件记录操作系统内核的信息，比如系统崩溃，恢复，设备的添加和拔掉，以及硬件控制器的消息等。

实现集中控制的方法有很多，比如使用rsyslog服务器。rsyslog可以收集各个系统的日志，然后分析和过滤，最后存放到服务器上，这样就可以把多台服务器的日志信息集中在一起管理了。

首先，需要配置rsyslog服务器，在rsyslog服务器提供两个阶段服务：收集和存储。

1、在/etc/rsyslog.conf文件中增加如下配置：

$ModLoad imuxsock

$ModLoad imklog

$ModLoad imtcp

$ModLoad imudp

$workDirectory /var/spool/rsyslog

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

$template FILENAME,”/var/log/%HOSTNAME%/%FROMHOST-IP%/syslog.log”

$RuleSet remote

$InputTCPServerRun 514

$InputUDPServerRun 514

2、配置收集主机，在收集主机的/etc/rsyslog.conf中增加：

$ModLoad imuxsock

$ModLoad imtcp

$workDirectory /var/spool/rsyslog

*.* @192.168.1.1:514 #192.168.1.1为rsyslog服务器地址

实现完上诉配置后，rsyslog服务器实际上就是运行一个代理服务，服务器端的514端口接收主机的消息，并且把消息每隔一段时间收集存放到服务器上，可以实现集中控制。

因此，通过以上配置，可以实现Linux的日志管理的集中控制，可以追查用户的各种操作，也可以及时发现各种故障，实现Linux系统的安全和管理简洁有效的控制。