学习总结——Linux日志管理

一、rsyslog 系统日志管理

处理日志的程序一般有两种：
第一种： 各类应用程序，可以以自己的方式记录日志。
第二种：rsyslogd—— 系统专职日志程序。

rsyslogd配置

1. 相关程序
   yum install rsyslog logrotate （默认已安装）

2. systemctl start rsyslog.service ——启动程序

3. 相关文件

   /etc/rsyslog.conf ——rsyslogd的主配置文件（关键）
   /etc/sysconfig/rsyslog——rsyslogd相关文件，定义级别

主配置文件

• 规则：设备+级别+存放位置
  如：mail.* -/var/log/maillog

    注：
    “mail ”:表示邮件设备
    “*”表示任意级别
    “-/var/log/maillog ”表示日志存放位置
  

  级别划分从高到低依次是：
  .emerg 紧急，致命，服务无法继续运行，如配置文件丢失
  .alert 报警，需要立即处理，如磁盘空使用95%
  .crit 致命行为
  .err 错误行为
  .warning 警告信息
  .notice 普通，重要的标准信息
  .info 标准信息
  .debug 调试信息，排错所需，一般不建议使用

二、logrotate日志轮转

日志 记录了程序运行时各种信息，通过日志可以分析用户行为，记录运行轨迹，查找程序问题，可惜磁盘的空间是有限的，为了节省空间和整理方便，日志文件经常需要按！时间或！大小等维度分成多份，删除时间久远的日志文件。

下面进行文件的日志轮转配置
例：yum日志轮转

1. 轮转的目标文件

/var/log/yum.log

2. 进入编辑模式

# vim /etc/logrotate.d/yum 

3. 轮转设置

/var/log/yum.log {
    missingok
   #notifempty
    maxsize 30k
   #yearly
    daily
    rotate 3
    create 0640 root root
}

注：轮转规则
	missingok		//丢失不执行；
	notifempty		//空文件不论转；
    size 30k		//达到30k轮转；
	yearly		//或者一年一轮转；
    rotate 3		//轮转保留3次；
	create 0600 root utmp 	//轮转后创建新文件，并设置权限