Linux日志管理:
rsyslog 系统日志管理
logrotate日志轮转
rsyslog部分:
rsyslog是系统专职日志程序,处理绝大部分日志记录,记录系统操作有关的信息。
(此外处理日志的进程除了rsyslog外,还有各类应用程序)
观察rsyslogd程序:
命令:ps aux |grep rsyslogd
[root@localhost ~]# ps aux |grep rsyslogd
root 1049 0.0 0.5 214452 5252 ? Ssl 21:58 0:00 /usr/sbin/rsyslogd -n
//进程号1049
关于syslogd配置:
相关程序的安装:yum install rsyslog logrotate
启动该程序:systemctl start rsyslog.service
查询:rpm -qc rsyslog
//-q 查询 -c相关的配置文件
其中的rsyslogd程序主配置文件很重要:/etc/rsyslog.conf
观察主配置文件:
tail /etc/rsyslog.conf
rsyslogd主配置文件中,规则:
RULES:生成日志,以及存储日志的策略。
语法结构: 设备FACILITY .级别LEVEL 文件位置FILE
例如:
authpriv.* /var/log/secure(SSH信息)
mail.* -/var/log/maillog(发邮件)
cron.* /var/log/cron(创建任务)
设备类型:
1. LOG_SYSLOG -----------syslogd产生的日志
2. LOG_AUTHPRIV----------安全认证的日志
3. LOG_CRON--------------计划任务at || cron的日志
4. LOG_MAIL------------- 邮件系统mail subsystem的日志
5. LOG_USER(default)-----用户相关的日志
6. LOG_DAEMON -----------后台进程的日志
7. LOG_FTP --------------FTP产生的日志
8. LOG_KERN------------- 内核kernel产生的日志
9. LOG_LPR --------------打印设备产生的日志
级别类型:
(级别又高到低,信息由少到多)
1. LOG_EMERG-------------紧急,致命,服务无法继续使用运行,例如配置文件丢失
2. LOG_ALERT-------------报警,需要立即处理,例如磁盘空间快满了95%
3.LOG_CRIT---------------致命行为
4.LOG_ERR----------------错误行为
5.LOG_WARNNING-----------警告信息
6.LOG_NOTICE-------------普通,重要的标准信息
7.==LOG_ALERT==----------标准信息
8.LOG_DEBUG--------------调试信息
logrorate日志轮转:
在rsyslogd的主配置文件中有:
主文件 /etc/logrorate.conf
子配置文件夹 /etc/logrorate.d
观察主文件和子文件
1|[root@qianfeng ~]# ls /etc/logrotate.conf /etc/logrotate.d/
2|/etc/logrotate.conf
3|/etc/logrotate.d/:
4|acpid cups iscsiuiolog ppp rpm subscription-manager up2date 5|wpa_supplicant
5|conman httpd mgetty psacct setroubleshoot syslog vsftpd.log yum
主配置文件:
=========全局设置==========
weekly //轮转周期,一周轮转
rotate 4 //保留4份
create //轮转后创建新文件
dateext //使用日期作为后缀
compress //是否压缩
include /etc/logrotate.d //包含该目录下的子配置文件
#对单个日志文件设置
/var/log/wtmp {
monthly //一月轮转一次
minsize 1M //最小达到1M才轮转,monthly and minsize
create 0664 root utmp //轮转后创建新文件,并设置权限
rotate 1 //保留一份
}
