日志管理
2017-10-27 本文已影响0人
code_nerd
简介
记录linux上的服务情况
查看服务是否启动
ps aux | grep rsyslog
systemctl status rsyslog
常见日志
| 日志文件 | 说明 |
|---|---|
| /var/log/cron | 记录了系统定时任务相关的日志 |
| /var/log/cpus | 记录打印信息的日志 |
| /var/log/dmesg | 记录系统开机内核信息,也可以使用dmesg查看 |
| /var/log/btmp | 记录错误的登录信息,文件是二进制的,要用lastb命令查看 |
| /var/log/lastlog | 记录系统中所有用户最后一次登录时间的日志,要用lastlog查看 |
| /var/log/maillog | 记录邮件信息 |
| /var/log/message | 记录系统重要信息日志 |
| /var/log/secure | 记录验证和授权方面的信息 |
| /var/log/wtmp | 永久记录用户登录,注销信息,同时记录系统的重启,启动关机事件 last命令查看 |
| /var/log/utmp | 记录当前已登录的用户信息 w查看 |
rsyslog日志服务
rsyslog 特点
- 基于tcp网络协议传输日志信息
- 更安全的网络传输方式
- 有日志消息的及时分析框架
- 后台数据库
- 配置文件中可以写简单的逻辑判断
- 与 syslog配置文件相兼容
日志文件格式
- 时间发生时间
- 发生事件的服务器或主机名
- 发生事件的服务器或程序名
- 事件的具体信息
rsyslog配置文件
/etc/rsyslog.conf
服务名称
| 名称 | 说明 |
|---|---|
| auth | 安全和认证相关消息 |
| authpriv | 安全和认证相关消息,私有的 |
| cron | 系统定时任务crond和at产生的日志 |
| daemon | 各个守护进程相关的日志 |
| ftp | ftp守护进程产生的日志 |
| kern | 内核产生的日志 |
| local10-local7 | 为本地预留的服务 |
| lpr | 打印产生的日志 |
| 邮件收发信息 | |
| news | 与新闻服务器相关的日志 |
| syslog | 有syslogd服务产生的日志信息 |
| user | 用户等级类别的日志 |
| uucp | uucp子系统日志信息 |
链接符号
- 代表所有日志等级 例如 authpriv.* 表示authpriv所有等级都记录
- . 代表只要比后面等级高的日志都记录 例如 cron.info 表示只记录cron 日志等级大于info的信息
- .= 代表只记录所需等级的日志 例如 *.=emerg 表示任何日志服务 只要是emerg的信息都记录
- .! 代表不等于, 除了该等级,其余都记录
日志等级
| 名称 | 说明 |
|---|---|
| debug | 一般调试信息说明 |
| info | 基本的通知信息 |
| notice | 普通信息,但有一定重要性 |
| warning | 警告信息,但是还不到影响服务或系统运行 |
| err | 错误信息,一般达到err 会影响服务和系统运行 |
| crit | 临界状况,比err严重 |
| alert | 警告状态,比crit严重,要采取措施 |
| emerg | 疼痛信息,系统已经无法使用 |
日志轮替
日志文件名命名规则
/etc/logrotate.conf
如果配置文件中有dateext,会拿当前日期作为日志文件的后缀。
如果配置文件中没有dateext,当前日志文件为secure,轮替是,会将secure改名secure.1 然后新建secure
配置文件参数说明
| 名称 | 说明 |
|---|---|
| daily | 日志轮替的周期是每天 |
| weekly | 每周 |
| monthly | 日志轮替周期是每月 |
| rotate 数字 | 保留日志文件个数,0表示没有备份 |
| compress | 日志轮替时,对旧日志进行压缩 |
| create mode owner group | 建立新日志,同时指定新日志的权限与所有者和所属组 如 create 0600 root utmp |
