Linux日志管理以及备份与恢复

一、日志

1.日志简介

    CentOS 6.x中日志服务已经变成了rsyslogd(原syslogd)，功能更加全面，但无论是服务的使用还是日志文件格式都与syslogd服务相兼容

    除了系统默认日志外，RPM包安装的系统服务也会默认把日志记录放在/var/log/中，但这些并不由rsyslogd服务管理，而是各个服务自身的日志管理文档来记录

2.rsyslogd服务

（1）日志文件格式

第一字段：事件产生时间
第二字段：事件发生服务器的主机名
第三字段：事件发生服务名或程序名
第四字段：事件具体信息

（2）配置文件

    配置文件路径：/etc/rsyslog.conf

配置文件格式：
         服务名称[连接符] 日志等级 日志记录位置

服务名称：
         auth,authpriv(安全和认证相关消息),cron,daemon(守护进程相关日志),ftp,kern,lpr(打印产生的日志),user,syslod(rsyslogd服务产生的日志信息)

连接符：
         . 代表只要比后面等级高（包含该等级）的日志都记录下来
         .= 代表只记录所需等级的日志
         .! 代表除了该等级日志其他等级都记录下来

日志等级：
         debug,info,notice(普通信息，但有一定重要性),warning,err,crit(临界状态信息),alert(警告状态信息,必须立即采取行动),emerg(疼痛等级，系统已经无法使用)
         * 代表所有日志等级
         none 代表不记录

3.日志轮替

    当日志数量越来越庞大时会占用很多硬盘空间，并且当一个日志文件很大的时候打开就会非常缓慢，为了解决这个问题，可以将日志文件进行切割，比如说按天将日志文件划分为几个小日志文件；或者把日志进行轮换，保留十天二十天的日志即可，超过阈值的日志就将其删掉，腾出空间存储新的日志。

（1）日志文件命名规则

配置文件中有dateext参数
         日志用日期来作为日志文件的后缀，当天的日志没有日期后缀，更新前一天文件名
没有dateext参数
         前一天的日志文件加后缀.1，之前的日志文件后缀递增即可

（2）logrotate

    logrotate是Linux自带的日志轮替工具，其配置文件路径为/etc/logrotate.conf

功能描述：把日志加入轮替
语法：vi /etc/logrotate.conf添加日志路径(如/usr/local/apache/logs/access_log) {[options]}即可
         daily/weekly/monthly 按天/周/月轮替
         rotate 数字，保留日志文件的个数
         create mode owner group，新建日志，指定权限,所有者,所属组
         size 大小，日志大于指定大小才轮替而不是按照时间
         dateext
注意：RPM包安装的服务默认已经支持轮替，源码包则需要手工指定

---

语法：logrotate [-vf] 配置文件名
         无选项 按照配置文件中的条件进行轮替
         -v 显示日志轮替过程
         -f 强制进行日志轮替

二、备份与恢复

1.备份策略

    完全备份：把所有需要备份的数据全部备份
    增量备份：备份与上一次备份相比新增的数据
    差异备份：每次备份和第一次完全备份相比

2.dump与restore

语法：dump [选项] 备份后的文件名 原文件或目录
         -level(0-9) 备份级别，0代表完全备份，1-9代表增量备份
         -f 文件名，指定备份之后的文件名
         -u 备份成功后将备份时间记录在/etc/dumpdates文件中
         -v 显示详细信息
         -j 将备份文件压缩为.bz2格式
         -W 显示被备份的分区的 备份等级及备份时间
例子：dump -0uj -f /root/boot.bak.bz2 /boot/
注意：dump命令只有在备份分区的时候才可以执行增量备份，目录文件只能进行完全备份

---

语法：restore [-C|i|t|r] [-f]
         -C 比较备份数据与实际数据的变化
         -i 进入交互模式，手工选择需要恢复的文件
         -t 查看模式，查看备份文件中拥有哪些数据
         -r 还原模式，用于数据还原

         -f 指定备份文件的文件名
注意：C，i，t，r 四种模式不能混用