LOG方案整理（持续更新）
一.日志文件格式
基本日志格式主要包含四种内容
1. 事件发生时间
2. 发生事件的主机名
3. 发生事件的服务或程序（或内核），包含进程PID
4. 事件内容
二.日志文件分析
内核及大多数系统消息 内核及系统日志主要由默认安装的rsyslog软件包提供, rsyslog服务所使用的配置文件为/etc/rsyslog.conf ,通过查看配置文件内容可以了解到系统默认的日志位置。
三.日志文件分类：
1.内核及系统日志
根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中大部分的程序会把自己的日志文件交由rsyslog管理,因而这些应用程序使用的日志记录格式都很相似。
问题：我们创建的日志服务，会收集内核日志吗
2.用户日志
记录Linux系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等
3.程序日志
有些应用程序会选择独立管理一份日志文件 ,而不是交给rsyslog服务管理,用于记录本程序运行过程中的各种事件信息。
四.日志消息级别

五.日志输出模式
1、NETWORK
2、 FILE
3、CONSOLE
六.日志需求
先记录到这，后面再更新