日志管理

简介

记录linux上的服务情况

查看服务是否启动

ps aux | grep rsyslog
systemctl status rsyslog

常见日志

日志文件	说明
/var/log/cron	记录了系统定时任务相关的日志
/var/log/cpus	记录打印信息的日志
/var/log/dmesg	记录系统开机内核信息，也可以使用dmesg查看
/var/log/btmp	记录错误的登录信息，文件是二进制的，要用lastb命令查看
/var/log/lastlog	记录系统中所有用户最后一次登录时间的日志，要用lastlog查看
/var/log/maillog	记录邮件信息
/var/log/message	记录系统重要信息日志
/var/log/secure	记录验证和授权方面的信息
/var/log/wtmp	永久记录用户登录，注销信息，同时记录系统的重启，启动关机事件 last命令查看
/var/log/utmp	记录当前已登录的用户信息 w查看

rsyslog日志服务

rsyslog 特点

• 基于tcp网络协议传输日志信息
• 更安全的网络传输方式
• 有日志消息的及时分析框架
• 后台数据库
• 配置文件中可以写简单的逻辑判断
• 与 syslog配置文件相兼容

日志文件格式

• 时间发生时间
• 发生事件的服务器或主机名
• 发生事件的服务器或程序名
• 事件的具体信息

rsyslog配置文件

/etc/rsyslog.conf

服务名称

名称	说明
auth	安全和认证相关消息
authpriv	安全和认证相关消息，私有的
cron	系统定时任务crond和at产生的日志
daemon	各个守护进程相关的日志
ftp	ftp守护进程产生的日志
kern	内核产生的日志
local10-local7	为本地预留的服务
lpr	打印产生的日志
mail	邮件收发信息
news	与新闻服务器相关的日志
syslog	有syslogd服务产生的日志信息
user	用户等级类别的日志
uucp	uucp子系统日志信息

链接符号

• • 代表所有日志等级 例如 authpriv.* 表示authpriv所有等级都记录
• . 代表只要比后面等级高的日志都记录 例如 cron.info 表示只记录cron 日志等级大于info的信息
• .= 代表只记录所需等级的日志 例如 *.=emerg 表示任何日志服务 只要是emerg的信息都记录
• .! 代表不等于， 除了该等级，其余都记录

日志等级

名称	说明
debug	一般调试信息说明
info	基本的通知信息
notice	普通信息，但有一定重要性
warning	警告信息，但是还不到影响服务或系统运行
err	错误信息，一般达到err 会影响服务和系统运行
crit	临界状况，比err严重
alert	警告状态，比crit严重，要采取措施
emerg	疼痛信息，系统已经无法使用

日志轮替

日志文件名命名规则

/etc/logrotate.conf
如果配置文件中有dateext，会拿当前日期作为日志文件的后缀。
如果配置文件中没有dateext，当前日志文件为secure，轮替是，会将secure改名secure.1 然后新建secure

配置文件参数说明

名称	说明
daily	日志轮替的周期是每天
weekly	每周
monthly	日志轮替周期是每月
rotate 数字	保留日志文件个数，0表示没有备份
compress	日志轮替时，对旧日志进行压缩
create mode owner group	建立新日志，同时指定新日志的权限与所有者和所属组 如 create 0600 root utmp