Linux日志轮转

日志系统rsyslog

日志管理基础

rsyslog 日志管理 logrotate日志轮转 采集 -----> 分析

一、处理日志的进程

rsyslogd： 绝大部分日志记录，和系统操作有关，安全，认证sshd,su，计划任务at,cron… httpd/nginx/mysql: 可以自己的方式记录日志

[root@youngfit ~]# ps aux |grep rsyslogd 
root       717  0.0  0.0 219752  3880 ?        Ssl  09:05   0:00 /usr/sbin/rsyslogd -n //

二、常见的日志文件(系统、进程、应用程序)

tail /var/log/messages //系统主日志文件

tail -20 /var/log/messages

tail -f /var/log/messages //动态查看日志文件的尾部

tailf /var/log/secure //认证、安全

tail /var/log/maillog //跟邮件postfix相关

tail /var/log/cron //crond、at进程产生的日志

tail /var/log/dmesg //和系统启动相关

tail /var/log/yum.log //yum

tail /var/log/mysqld.log //MySQL

tail /var/log/xferlog //和访问FTP服务器相关

w //当前登录的用户 /var/log/wtmp

last //最近登录的用户 /var/log/btmp

lastlog //所有用户的登录情况 /var/log/lastlog

案例1: 统计登录失败top 5

[root@aliyun ~]# grep 'Fail' /var/log/secure |awk '{print $11}' |sort |uniq -c|sort -k1 -n -r |head -5     
7 172.16.130.14      
6 172.16.130.70       
5 172.16.130.56      
3 172.16.130.80      
2 172.16.130.76

案例2: 统计登录成功

[root@aliyun ~]# grep 'Accepted' /var/log/secure |awk '{print $(NF-3)}' |sort |uniq -c        //NF-3指倒数第四行
4 111.201.131.215
1 116.243.0.213
1 123.120.14.32
3 123.120.38.233
2 221.222.199.175
1 221.222.202.102

常用日志

messages 系统日志 	
maillog  邮件日志 	
cron	     计划任务日志 	
xferlog  vsftpd日志 	
httpd	 apache日志 
secure	 安全日志  ssh ftp telnet pop3 pam等有关 
lastlog   记录每一个账户最后一次登录的时间，使用lastlog 	
wtmp	 查看的是一个月之内所有账户的的登录情况，使用last 	
btmp	 查看现在正在登录的账户，使用lastb查看 
samba	 samba共享日志 	
yum.log 	yum程序相关的日志 	
dmesg  开机时核心检测过程中所产生的信息 	
boot.log 系统启动过程日志记录存放 

三、logrotate日志轮转

注：针对任何日志文件（rsyslog 日志、Nginx访问或错误日志…）

一、logrotate (轮转，日志切割) 
1. 如果没有日志轮转，日志文件会越来越大
2. 将丢弃系统中最旧的日志文件，以节省空间 
3. logrotate本身不是系统守护进程，它是通过计划任务crond每天执行

logrotate 配置文件：

 /etc/logrotate.conf (决定每个日志文件如何轮转) /etc/logrotate.d/*

[root@youngfit ~]# ls /etc/logrotate.conf /etc/logrotate.d/ 
 
 /etc/logrotate.conf

 /etc/logrotate.d/: 

acpid   cups   iscsiuiolog  ppp  rpm  subscription-manager  up2date  wpa_supplicant conman  httpd  mgetty       psacct  setroubleshoot  syslog          vsftpd.log  yum

主配置文件

[root@youngfit ~]# vim /etc/logrotate.conf	
weekly     			//轮转的周期，一周轮转 
rotate 4			//保留4份 
create				//轮转后创建新文件 
dateext             //使用日期作为后缀 
#compress			//日志轮替时,旧的日志进行压缩 
include /etc/logrotate.d  			 //包含该目录下的配置文件

/var/log/wtmp {			          	//对该日志文件设置轮转的方法    
 monthly			                //一月轮转一次  
 minsize 1M			            	//最小达到1M才轮转,否则就算时间到了也不轮转
 create 0664 root utmp		        //轮转后创建新文件，并设置权限   
 rotate 1			                //保留一份 
}

/var/log/btmp {    
 missingok			              	//丢失不提示    
 monthly			                //每月轮转一次     
 create 0600 root utmp		        //轮转后创建新文件，并设置权限 
 rotate 1			                //保留一份 
} 

例1：轮转文件/var/log/yum.log
vim /etc/logrotate.d/yum  	   
/var/log/yum.log {
 missingok                                //丢失不提醒
 #notifempty                              // 空文件不轮转 
 #size 30k									//只要到了30k就轮转
 #yearly
 daily                                     //每天轮转一次   
 rotate 3      
 create 0777 root root       //所有者 所属组
}

测试：

[root@localhost]#  /usr/sbin/logrotate /etc/logrotate.conf	  //手动轮转
[root@localhost]#  /usr/sbin/logrotate -f /etc/logrotate.conf	//强制手动轮转

[root@localhost apache]# logrotate -f /etc/logrotate.d/yum
[root@localhost apache]# ls /var/log/yum* 
/var/log/yum.log  /var/log/yum.log.1  /var/log/yum.log-20200104

[root@localhost ]# grep yum /var/lib/logrotate/logrotate.status		  //记录所有日志文件最近轮转的时间 "/var/log/yum.log" 2017-3-31-10:0:23


#/usr/sbin/logrotate -s /var/lib/logrotate/logrotate.status /etc/logrotate.conf	//根据状态文件，规则文件进行轮转