日志管理

日志管理简介

1、日志服务

在CentOS 6.x中日志服务已经由rsyslogd取代了原先的syslogd服务。rsyslogd日志服务更加先进，功能更多。但是不论该服务的使用，还是日志文件的格式其实都是和syslogd服务相兼容的，所以学习起来基本和syslogd服务一致

rsyslogd的新特点：

基于TCP网络协议传输日志信息；

跟安全的网络传输方式；

有日志消息的及时分析框架；

后台数据库；

配置文件中可以写简单的逻辑判断；

与syslog配置文件相兼容。

确认服务启动

ps aux | grep rsyslogd

#查看服务是否启动

chkconfig --list | grep rsyslog

# 查看服务是否自启动

2、常见日志的作用

日志文件	说明
/var/log/cron	记录了系统定时任务相关的日志
/var/log/cups/	记录打印信息的日志
/var/log/dmesg	记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息。
/var/log/btmp	记录错误登录的日志。这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看
/var/log/lastlog	记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件，不能直接vi，而要使用lastlog命令查看。
/var/log/mailog	记录邮件信息。
/var/log/message	记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件
/var/log/secure	记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录。比如说系统的登录，ssh的登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中。
/var/log/wtmp	永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看。
/var/run/utmp	记录当前已经登录的用户的信息，这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w，who，users等命令来查询。

除了系统默认的日志之外，采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录中（源码包安装的服务日志是在源码包指定目录中）。不过这些日志不是由rsyslogd服务来记录和管理的，而是各个服务使用自己的日志管理文档来记录自身日志。

日志文件	说明
/var/log/httpd/	RPM包安装的apache服务的默认日志目录
/var/lod/mail/	RPM包安装的邮件服务的额外日志目录
/var/log/samba/	RPM包安装的samba服务的日志目录
/var/log/sssd/	守护进程安全服务目录

rsyslogd日志服务

1、日志文件格式

基本日志格式包含以下四列：

事件产生的时间；

发生时事件的服务器的主机名；

产生事件的服务名或程序名；

事件的具体信息。

2、/etc/rsyslog.conf配置文件

authpriv.* /var/log/secure

#服务名称[连接符号]日志等级 日志记录位置

# 认证相关服务.所有日志等级 记录在/var/log/secure日志中

服务名称	说明
auth	安全和认证相关消息（不推荐使用authpriv替代）
authpriv	安全和认证相关消息（私有的）
cron	系统定时任务cront和at产生的日志
daemon	和各个守护进程相关的日志
ftp	ftp守护进程产生的日志
kern	内核产生的日志（不是用户进程产生的）
local0-local7	为本地使用预留的服务
lpr	打印产生的日志

连接符号

连接符号可以识别为：

“ * ” 代表所有日志等级，比如：“ authpriv.* ” 代表authpriv认证信息服务产生的日志，所有的日志等级都记录

“ . ” 代表只要比后面的等级高的（包含该等级）日志都记录下来。比如：”cron.info“ 代表cron服务产生的日志，只要日志等级大于等于info级别，就记录

” .= “代表只记录所需等级的日志，其他等级的都不记录。比如：” *.=emerg “ 代表任何日志服务产生的日志，只要等级是emerg等级就记录。这种用法及少见，了解就好

” .! “代表不等于，也就是除了该等级的日志外，其他等级的日志都记录

日志等级

等级名称	说明
debug	一般的调试信息说明
info	基本的通知信息
notice	普通信息，但是有一定的重要性
warning	警告信息，但是还不会影响到服务或系统的运行
err	错误信息，一般达到err等级的信息已经可以影响到服务或系统的运行了
crit	临界状况信息，比err等级还要严重
alert	警告状态信息，比crit还要严重。必须立即采取行动
emerg	疼痛登记信息，系统已经无法使用了

日志轮替

１、日志文件的命名规则

如果配置文件中拥有 ” dateext “ 参数，那么日志会用日期来作为日志文件的后缀，例如　” secure-20181125“. 这样的话日志文件名不会重叠，所以也就不需要日志文件的改名，只需要保存指定的日志个数，删除多余的日志文件即可。

如果配置文件中没有”dateext“参数，那么日志文件就需要进行改名了。当第一次进行日志轮替时，当前的 ” secure “ 日志会自动改名为 ” secure.1 “，然后新建 ” secure “ 日志，用来保存新的日志。当第二次进行日志轮替时，” secure.1 “ 会自动改名为 ”secure.2 “, 当前的 ”secure “ 日志会自动改名为” secure.1 “，然后也会新建 ” secure “ 日志，用来保存新的日志，以此类瑞。

２、logrotate配置文件

参数	参数说明
daily	日志的轮替周期是每天
weekly	日志的轮替周期是每周
monthly	日志的轮替周期是每月
rotate 数字	保留的日志文件的个数。0指的是没有备份
compress	日志轮替时，旧的日志进行压缩
create mode owner group	建立新日志，同时指定新日志的权限与所有者和所属组。如create 0600 root utmp
mail address	当日志轮替时，输出内容通过邮件发送到指定的邮件地址。如mail [email protected]
missingok	如果日志不存在，则忽略该日志的警告信息
notifempty	如果日志为空文件，则不进行日志轮替
minsize 大小	日志轮替的最小值。也就是日志一定要达到这个最小值才会轮替，否则就算时间达到也不轮替
size 大小	日志只有大于指定大小才进行日志轮替，而不是按照时间轮替。如size 100k
dateext	使用日期作为日志轮替文件的后缀。如secure-20181125

３、把apache日志加入轮替

vi /etc/logrotate.conf

/usr/local/aoache2/logs/access_log{

daily

create

route 30

}

4、logrotate命令

logrotate 【选项】 配置文件名

选项：

如果此命令没有选项，则会按照配置文件中的条件进行日志轮替

-v：显示日志轮替过程。加了-v选项会显示日志的轮替过程

-f：强制进行日志轮替。不管日志轮替的条件是否已经符合，强制配置文件中所有的日志进行轮替