Linux日志

rsyslog系统日志管理

哪类程序产生的什么日志放到什么地方

处理日志的进程

第一类:

rsyslogd:系统专职日志程序,处理绝大部分日志记录,系统操作相关的信息,如登录信息,程序启动关闭相关信息,错误信息等。

第二类:

各类应用程序(nginx、httpd、mysql等)以自己的方式记录日志

常见的日志文件

  • /var/log/message:系统主日志文件
  • /var/log/secure:认证、安全相关
  • /var/log/yum.log:与yum相关
  • /var/log/mailog:邮件postfix相关
  • /var/log/cron:与crond、at产生的日志
  • /var/log/dmesg:和系统启动有关
  • /var/log/audit/audit.log:系统审计日志
  • /var/log/mysqld.log:与mysql相关
  • /var/log/xferlog:访问ftp服务器相关
  • /var/log/wtmp:当前登录用户(命令w)
  • /var/log/btmp:最近登录的用户(命令last)
  • /var/log/lastlog:所有用户的登录情况(命令lastlog)

rsyslogd配置

相关程序:rsyslog 和 logrotate 默认都已安装(yum -y install rsyslog logrotate)

启动程序:systemctl start rsyslog.service

相关文件:通过 rpm -qc rsyslog 查询 rsyslog 的配置文件

/etc/rsyslog.conf:主配置文件

/etc/rsysconfig/rsyslog:rsyslogd相关文件,定义级别

/etc/logrotate.d/syslog:与日志轮转相关

/etc/rsyslog.conf

告诉rsyslogd进程什么日志应该放到哪里

vim /etc/rsyslog.conf

Linux日志_第1张图片

其中设备后面的符号区别

:代表比后面还要严重的等级(含该等级)都被记录下来,最常用

.=:仅仅是所需要的等级记录下来

.!:除去该等级外的都记录下来

rules

rules即规则,一套生成日志,存储日志的策略。由三部分组成:设备facility + 级别level + 存放位置file 。

facility

是系统对于某种类型的程序的定义,如 authpriv 是安全类事件,cron是计划任务类事件。用于收集同类程序日志。

  • log_syslog:syslogd自身产生的日志
  • log_authpriv:安全认证
  • log_cron:与计划任务相关
  • log_mail:邮件系统
  • log_user(default):用户相关
  • log_daemon:后台进程
  • log_ftp:文件服务器ftp
  • log_kern:内核设备
  • log_lpr:打印机设备
  • log_local0 through log_local7:用户自定义设备

level

自下而上,级别从低到高,级别越高,记录的信息越少

  • emerg:紧急,致命,系统几乎要宕机
  • alert:警告
  • crit:临界点
  • error:错误
  • warning:警示的信息
  • notice:正常,但比info要多注意一些
  • info:基本信息的说明
  • debug:用于排错时产生的信息数据,事无巨细全部记录

logrotate日志轮转

将大量的日志分割管理,删除旧日志,按照配置轮转,记录的信息再多也只能保存最后一段时间发生的事情

主配置文件:/etc/logrotate.conf 设定每个日志文件如何轮转

子配置文件夹:/etc/logrotate.d/* 自定义配置,便于管理

/etc/logrotate.conf

Linux日志_第2张图片

你可能感兴趣的:(Linux基础,linux,运维)