Linux Log Management
Contents
日志服务
在CentOS 6.x 中日志服务已经由rsyslogd取代了原先的syslogd服务。rsyslogd日志服务更加先进,功能更多。但是不论该服务的使用,还是日志文件的格式其实都是和syslogd服务相兼容的,所以学习起来基本和syslogd服务一致
查看服务
-
ps aux|grep rsyslogd -
systemctl status rsyslog
常见日志作用
| 日志 | 说明 |
|---|---|
| /var/log/cron | 记录了系统定时任务相关的日志 |
| /var/log/cups | 记录打印信息的日志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/btmp | 记录错误登录的日志。这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看 |
| /var/log/lastlog | 记录系统中所有用户最后一次的登录时间的日志。也是一个二进制文件,不能直接vi,而要用lastlog命令查看 |
| /var/log/mailog | 记录邮件信息 |
| /var/log/message | 记录系统重要信息的日志。这个日志文件会记录Linux系统的绝大多数重要信息,如果系统出现问题的时候,首先要检查的就应该是这个日志文件 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。比如说系统的登录 ,ssh的登录,su切换用户,sudo授权,甚至添加用户和修改密码都会记录在这个日志文件中 |
| /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,需要使用last命令来查看 |
| /var/run/utmp | 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化 ,只记录当前登录用户的信息。同样这个文件不能直接vi,而要用w、who、users等命令来查询 |
其他日志
除了系统默认的日志之外,采用RPM安装的系统服务也会默认把日志记录在/var/log目录中(源码包安装的服务日志是在源码包指定目录中)。不过这些日志不是由rsyslogd服务来记录和管理的,而是各个服务使用自己的日志管理文档来记录自身日志。
rsyslogd日志服务
日志文件格式
基本日志格式包含以下四列:
-
事件产生的时间
-
发生事件的服务器的主机名
-
产生事件的服务名或程序名
-
事件的具体信息
/etc/rsyslog.conf配置文件
|
|
服务名称
| 服务名称 | 说明 |
|---|---|
| auth | 安全和认证相关消息(不推荐使用authpriv替代) |
| authpriv | 安全和认证相关消息(私有的) |
| cron | 系统定时任务cront和at产生的日志 |
| daemon | 和各个守护进程相关的日志 |
| ftp | ftp守护进程产生的日志 |
| kern | 内核产生的日志(不是用户进程产生的) |
| local0-local7 | 为本地使用预留的服务 |
| lpr | 打印产生的日志 |
| 邮件收发信息 | |
| news | 与新闻服务器相关的日志 |
| syslog | 有syslogd服务产生的日志信息(虽然服务名称已经改为rsyslogd,但是很多配置都还是沿用了syslogd的,这里并没有修改服务名) |
| user | 用户等级类别的日志信息 |
| uucp | uucp子系统的日志信息,uucp是早期 linux系统进程数据传递的协议,后来来常用在新闻组服务中 |
连接符号
-
*代表所有日志等级,比如authpriv.*代表authpriv认证信息服务产生的日志,所有的日志等级都记录 -
.代表只要比后面的等级高(包含该等级)日志都记录下来。比如cron.info代表cron服务产生的日志,只要日志等级大于等于info级别,就记录 -
=代表只记录所需等级的日志,其他等级的都不记录。比如*.=emerg代表人和日志服务产生的日志,只要等级是emerg等级就记录。这种用户极少见 -
.!代表不等于,也就是除了该等级的日志外,其他等级的日志都记录
日志等级
| 等级名称 | 说明 |
|---|---|
| debug | 一般的调试信息说明 |
| info | 基本的通知信息 |
| notice | 普通信息,但是有一定的重要性 |
| warning | 警告信息,但还不影响到服务或系统的运行 |
| err | 错误信息,一般达到err等级的信息已经可以影响到服务或系统运行了 |
| crit | 临界状况信息,比err等级还严重 |
| alert | 警告状态信息,比crit还严重,必须立即采取行动 |
| emerg | 疼痛等级信息,系统已经无法使用了 |
日志记录位置
-
日志文件的绝对路径,如
/var/log/secure -
系统设备文件,如
/dev/lp0 -
转发给远程主机,如
@192.168.1.2 -
用户名,如
root -
忽略或丢弃日志,如
~
日志轮替
日志文件的命令规则
-
如果配置文件中拥有
dateext参数,那么日志会用日期来作为日志文件的后缀,例如secure-20130605。这样的话日志文件名不会重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可 -
如果配置文件中没有
dateext参数,那么日志文件就需要改名了。当第一次进行日志轮替时,当前的secure日志会自动改名为secure.1,然后新建secure日志,用来保存新的日志。当第二次进行日志轮替的时候,secure.1会自动改名为secure.2,当前的secure日志会自动改名为secure.1,然后也会新建secure日志,用来保存新的日志,以此类推
logrotate配置文件
/etc/logrotate.conf
| 参数 | 参数说明 |
|---|---|
| daily | 日志的轮替周期是每天 |
| weekly | 日志的轮替周期是每周 |
| monthly | 日志的轮替周期是每月 |
| rotate 数字 | 保留的日志文件的个数。0指没有备份 |
| compress | 日志轮替的时候,旧的日志进行压缩 |
| create mode owner group | 建立新日志,同时指定新日志的权限与所有者和所属组。如create 0600 root utmp |
| mail address | 当日志轮替时,输出内容通过邮件发送到指定的邮件地址,如mail aa@gmail.com |
| missingok | 如果日志不存在,则忽略该日志的警告信息 |
| notifyempty | 如果日志为空文件,则不进行日志轮替 |
| minsize 大小 | 日志轮替的最小值,也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替 |
| size 大小 | 日志只有大于指定大小才进行日志轮替,而不是按照时间轮替。如size 100k |
| dateex | 使用日期作为日志轮替文件的后缀。如secure-20130605 |
把源码包安装的apache的日志加入轮替
|
|
logrotate命令
|
|
选项
如果此命令没有选项,则会按照配置文件中的条件进行日志轮替
-
-v显示日志轮替过程。 -
-f强制进行日志轮替。不管日志轮替的条件是否已经符合,强制配置文件中所有的日志进行轮替
Author bingym
LastMod 2022-01-29