日志管理基础
rsyslog 日志管理 logrotate日志轮转 采集 -----> 分析
一、处理日志的进程
rsyslogd: 绝大部分日志记录,和系统操作有关,安全,认证sshd,su,计划任务at,cron… httpd/nginx/mysql: 可以自己的方式记录日志
[root@youngfit ~]# ps aux |grep rsyslogd
root 717 0.0 0.0 219752 3880 ? Ssl 09:05 0:00 /usr/sbin/rsyslogd -n //
二、常见的日志文件(系统、进程、应用程序)
tail /var/log/messages //系统主日志文件
tail -20 /var/log/messages
tail -f /var/log/messages //动态查看日志文件的尾部
tailf /var/log/secure //认证、安全
tail /var/log/maillog //跟邮件postfix相关
tail /var/log/cron //crond、at进程产生的日志
tail /var/log/dmesg //和系统启动相关
tail /var/log/yum.log //yum
tail /var/log/mysqld.log //MySQL
tail /var/log/xferlog //和访问FTP服务器相关
w //当前登录的用户 /var/log/wtmp
last //最近登录的用户 /var/log/btmp
lastlog //所有用户的登录情况 /var/log/lastlog
案例1: 统计登录失败top 5
[root@aliyun ~]# grep 'Fail' /var/log/secure |awk '{print $11}' |sort |uniq -c|sort -k1 -n -r |head -5
7 172.16.130.14
6 172.16.130.70
5 172.16.130.56
3 172.16.130.80
2 172.16.130.76
案例2: 统计登录成功
[root@aliyun ~]# grep 'Accepted' /var/log/secure |awk '{print $(NF-3)}' |sort |uniq -c //NF-3指倒数第四行
4 111.201.131.215
1 116.243.0.213
1 123.120.14.32
3 123.120.38.233
2 221.222.199.175
1 221.222.202.102
常用日志
messages 系统日志
maillog 邮件日志
cron 计划任务日志
xferlog vsftpd日志
httpd apache日志
secure 安全日志 ssh ftp telnet pop3 pam等有关
lastlog 记录每一个账户最后一次登录的时间,使用lastlog
wtmp 查看的是一个月之内所有账户的的登录情况,使用last
btmp 查看现在正在登录的账户,使用lastb查看
samba samba共享日志
yum.log yum程序相关的日志
dmesg 开机时核心检测过程中所产生的信息
boot.log 系统启动过程日志记录存放
注:针对任何日志文件(rsyslog 日志、Nginx访问或错误日志…)
一、logrotate (轮转,日志切割)
1. 如果没有日志轮转,日志文件会越来越大
2. 将丢弃系统中最旧的日志文件,以节省空间
3. logrotate本身不是系统守护进程,它是通过计划任务crond每天执行
logrotate 配置文件:
/etc/logrotate.conf (决定每个日志文件如何轮转) /etc/logrotate.d/*
[root@youngfit ~]# ls /etc/logrotate.conf /etc/logrotate.d/
/etc/logrotate.conf
/etc/logrotate.d/:
acpid cups iscsiuiolog ppp rpm subscription-manager up2date wpa_supplicant conman httpd mgetty psacct setroubleshoot syslog vsftpd.log yum
主配置文件
[root@youngfit ~]# vim /etc/logrotate.conf
weekly //轮转的周期,一周轮转
rotate 4 //保留4份
create //轮转后创建新文件
dateext //使用日期作为后缀
#compress //日志轮替时,旧的日志进行压缩
include /etc/logrotate.d //包含该目录下的配置文件
/var/log/wtmp { //对该日志文件设置轮转的方法
monthly //一月轮转一次
minsize 1M //最小达到1M才轮转,否则就算时间到了也不轮转
create 0664 root utmp //轮转后创建新文件,并设置权限
rotate 1 //保留一份
}
/var/log/btmp {
missingok //丢失不提示
monthly //每月轮转一次
create 0600 root utmp //轮转后创建新文件,并设置权限
rotate 1 //保留一份
}
例1:轮转文件/var/log/yum.log
vim /etc/logrotate.d/yum
/var/log/yum.log {
missingok //丢失不提醒
#notifempty // 空文件不轮转
#size 30k //只要到了30k就轮转
#yearly
daily //每天轮转一次
rotate 3
create 0777 root root //所有者 所属组
}
测试:
[root@localhost]# /usr/sbin/logrotate /etc/logrotate.conf //手动轮转
[root@localhost]# /usr/sbin/logrotate -f /etc/logrotate.conf //强制手动轮转
[root@localhost apache]# logrotate -f /etc/logrotate.d/yum
[root@localhost apache]# ls /var/log/yum*
/var/log/yum.log /var/log/yum.log.1 /var/log/yum.log-20200104
[root@localhost ]# grep yum /var/lib/logrotate/logrotate.status //记录所有日志文件最近轮转的时间 "/var/log/yum.log" 2017-3-31-10:0:23
#/usr/sbin/logrotate -s /var/lib/logrotate/logrotate.status /etc/logrotate.conf //根据状态文件,规则文件进行轮转