Linux日志

rsyslog系统日志管理

哪类程序产生的什么日志放到什么地方

处理日志的进程

第一类：

rsyslogd：系统专职日志程序，处理绝大部分日志记录，系统操作相关的信息，如登录信息，程序启动关闭相关信息，错误信息等。

第二类：

各类应用程序(nginx、httpd、mysql等）以自己的方式记录日志

常见的日志文件

• /var/log/message：系统主日志文件
• /var/log/secure：认证、安全相关
• /var/log/yum.log：与yum相关
• /var/log/mailog：邮件postfix相关
• /var/log/cron：与crond、at产生的日志
• /var/log/dmesg：和系统启动有关
• /var/log/audit/audit.log：系统审计日志
• /var/log/mysqld.log：与mysql相关
• /var/log/xferlog：访问ftp服务器相关
• /var/log/wtmp：当前登录用户（命令w）
• /var/log/btmp：最近登录的用户（命令last）
• /var/log/lastlog：所有用户的登录情况（命令lastlog）

rsyslogd配置

相关程序：rsyslog 和 logrotate 默认都已安装（yum -y install rsyslog logrotate）

启动程序：systemctl start rsyslog.service

相关文件：通过 rpm -qc rsyslog 查询 rsyslog 的配置文件

/etc/rsyslog.conf：主配置文件

/etc/rsysconfig/rsyslog：rsyslogd相关文件，定义级别

/etc/logrotate.d/syslog：与日志轮转相关

/etc/rsyslog.conf

告诉rsyslogd进程什么日志应该放到哪里

vim /etc/rsyslog.conf

其中设备后面的符号区别

. ：代表比后面还要严重的等级（含该等级）都被记录下来，最常用

.=：仅仅是所需要的等级记录下来

.!：除去该等级外的都记录下来

rules

rules即规则，一套生成日志，存储日志的策略。由三部分组成：设备facility + 级别level + 存放位置file 。

facility

是系统对于某种类型的程序的定义，如 authpriv 是安全类事件，cron是计划任务类事件。用于收集同类程序日志。

• log_syslog：syslogd自身产生的日志
• log_authpriv：安全认证
• log_cron：与计划任务相关
• log_mail：邮件系统
• log_user(default)：用户相关
• log_daemon：后台进程
• log_ftp：文件服务器ftp
• log_kern：内核设备
• log_lpr：打印机设备
• log_local0 through log_local7：用户自定义设备

level

自下而上，级别从低到高，级别越高，记录的信息越少

• emerg：紧急，致命，系统几乎要宕机
• alert：警告
• crit：临界点
• error：错误
• warning：警示的信息
• notice：正常，但比info要多注意一些
• info：基本信息的说明
• debug：用于排错时产生的信息数据，事无巨细全部记录

logrotate日志轮转

将大量的日志分割管理，删除旧日志，按照配置轮转，记录的信息再多也只能保存最后一段时间发生的事情

主配置文件：/etc/logrotate.conf 设定每个日志文件如何轮转

子配置文件夹：/etc/logrotate.d/* 自定义配置，便于管理

/etc/logrotate.conf