linux之日志管理

1： linux操作系统通过日志来记录系统，程序，用户发生的各种事件。
     a.    linux中的日志操作工具为:   rsyslog命令。
            rsyslog命令的配置文件为：/etc/rsyslog.conf。
      具体字段含义如下：
         *.info；mail.none;authpriv.none;cron.none           /var/log/messages
           mail.info                                                             /var/log/maillog
          authpriv.none                                                     /var/log/secure
         cron.*                                                                  /var/log/cron
      具体字段解释：
      mail.none           mail表示服务或者监视的对象,日志记录按照重要的等级分为    
      debug，info，warning，error，crit，emerg。none表示不属于等级中的任何一个。
       *.info表示监视所有的系统，程序和用户日志。.info表示包括info信息以及warn error等。

       b. 消息发送的位置
                    本地文件 ： 为绝对路径
                     打印机：    设备文件
                    远程服务器：   @IP_ADRESS
                         *              :  表示发给所有人。
2：如果要将日志存储到另一台服务器上步骤如下：
      第一步：
                 在/etc/rsyslog.conf配置文件中加入要传递的日志等级及需要记录的服务
               cron.info                 @172.168.25.28   (用@符号表示使用的是UDP协议，用@@表示用TCP协议)
      第二步：
                在存放日志的服务器中修改配置文件/etc/rsyslog配置文件，将远程日志功能启用。
       第三步：
                关闭远程服务器的防火墙。
        第四步：
                  重启日志服务    service rsyslog restart.

3：日志文件介绍
           /var/log/secure           -----------记录用户的登录认证
           /var/log/cron               ------------记录计划任务的操作
            /var/log/maillog           --------------记录邮件服务
           /var/log/boot.log           -------------记录开机启动的信息
            /var/log/messages       --------------内核及公共日志
           /var/log/dmesg             --------------内核加载驱动日志
           /var/log/lastlog    :         --------------最近的用户登录事件
            /var/log/wtmp                 --------------用户登录，注销及系统开，关机事件
            /var/log/utmp                ---------------当前登录的每个用户的详细信息

4：用户登录分析
     last   命令查看所有登录过的用户的信息
     lastlog
   accton命令用来监视用户登录时使用过的命令，但是只有在开启的情况下才监视。使用方法
   第一步：    accton  /vat/account/pacct        启用用户行为监控
    第二步：    lastcomm  --user  root          查看root用户使用过的命令
    第三步：     accton                              停用监控服务。

5：主动添加日志
  使用logger命令可以手动为日志文件添加日志。在脚本维护中，可以用来在日志中做标记。
   日志管理需要及时做好备份，控制日志访问权限，集中管理日志。

6:  日志轮转功能。
     由于日志文件在经历一段时间后会变得越来越大，这就需要日志轮转，所谓日志轮转就是将一个时间段的日志存储到另一个文件中，之后的日志记录又从现阶段开始。
     日志轮转命令：logrotate
     logrotate配置文件为：/etc/logrotate.conf。
    其中重要的字段意思如下：
     rotate  4   经过四个轮转周期备份一次
     sharedscripts  脚本执行定义的头部
     endscripts     脚本执行定义的尾部
     postrotate   在日志开始轮转之后执行脚本标志
     prerotate       在日志轮转之前执行脚本标志
工作中用法： 给日志加上 chattr +a  /var/log/mylog,在一个轮转周期开始前在prerotate中去掉该权限，chattr -a /var/log/mylog。然后在postrotate中再加上该权限。