Linux常用命令笔记---日志管理

 日志分为两种：1.应用程序日志2.系统日志

 存放目录：/var/log

/var/log/messages：记录系统发生的所有信息文件； /var/log/maillog：记录邮件收发信息 /var/log/dmesg：记录系统启动的时候内核所检测和各种硬件信息 /var/log/secure：记录操作系统中的所有登录与身份验证相关的安全信息 /var/log/audit/audit.log：记录系统审讯相关的信息 /var/log/cron：记录计划任务的信息 应用程序守护进程命名的日志记录：/var/log/httpd、/var/log/samba、/var/log/cups、/var/log/squid ----------------配置文件地址/etc/syslog.conf 计算机日志由syslogd与klogd这两个守护进程集中管理，配置文件：/etc/sysconfig/syslog

[root@szm ~]# ps aux | grep syslog

root      2487  0.0  0.2  36048  1084 ?        Sl   06:48   0:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5

root      2637  0.0  0.0   2188   340 ?        Ss   06:48   0:00 /usr/sbin/fcoemon --syslog

szm       3630  0.0  0.6 102588  3356 ?        S<sl 06:49   0:09 /usr/bin/pulseaudio --start --log-target=syslog

root      9891  0.0  0.1   4360   748 pts/0    S+   13:28   0:00 grep syslog

[root@szm ~]# grep "^[^#]" /etc/rsyslog.conf

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog   # provides kernel logging support (previously done by rklogd)

$ModLoad imudp

$UDPServerRun 516

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

$IncludeConfig /etc/rsyslog.d/*.conf

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

authpriv.*                                              /var/log/secure

mail.*                                                  -/var/log/maillog

cron.*                                                  /var/log/cron

*.emerg                                                 *

uucp,news.crit                                          /var/log/spooler

local7.*                                                /var/log/boot.log

 

服务名称： auth,authpriv        负责用户授权认证与敏感信息的授权与安全 cron                 记录计划任务服务 daemon               与单一进程相关信息 kern                 记录内核信息 lpr                  记录打印服务相关的信息 mail                 记录与邮件相关的信息 news                 记录新闻组相关信息 syslog,user,ucp      记录syslog进程本身的信息 local0--local7       记录默认 *                    记录所有

事件优先级： debug：          记录应用程序调试信息 info：           应用程序服务的基本说明 notic：          包含info信息之外的信息内容 warning,warn：   警告信息，可能会影响到进程的执行 err,error：      记录系统的重大错误信息，如服务不能启动 crit：           比error还严重的信息，此级别的错误表示系统已经到了临界点了，会影                  响系统的安全性 alert：          严重警告，比临界点还要严重的信息，提示用户应该立即的问题 emerg,panic：     系统已经崩溃 none：           不记录任何日志

[root@szm ~]# /etc/init.d/rsyslog restart

Shutting down system logger:                               [  OK  ]

Starting system logger:                                    [  OK  ]

[root@szm ~]# service rsyslog restart

Shutting down system logger:                               [  OK  ]

Starting system logger:                                    [  OK  ]

[root@szm ~]# cat /etc/sysconfig/rsyslog 

# Options for rsyslogd

# Syslogd options are deprecated since rsyslog v3.

# If you want to use them, switch to compatibility mode 2 by "-c 2"

# See rsyslogd(8) for more details

SYSLOGD_OPTIONS="-c 5"-------------远程日志管理功能

日志轮循管理：

 

为了控制日志文件的大小及提高磁盘利用率，操作系统为日志专门设计了自动维护机制：logroate,配置文件：/etc/logroate.conf

[root@szm ~]# cat /etc/logrotate.conf 

# see "man logrotate" for details

# rotate log files weekly

weekly-----------------轮循时间间隔

 

# keep 4 weeks worth of backlogs

rotate 4---------------轮循次数

 

# create new (empty) log files after rotating old ones

create------------------定义默认的轮循动作：创建空文件

 

# use date as a suffix of the rotated file

dateext

 

# uncomment this if you want your log files compressed

#compress------------------------是否对日志文件进行压缩

 

# RPM packages drop log rotation information into this directory

include /etc/logrotate.d----------轮循机制要控制哪些日志文件

 

# no packages own wtmp and btmp -- we'll rotate them here

/var/log/wtmp {-----------wtmp日志文件的轮循机制

    monthly---------------轮循时间间隔为一个月

    create 0664 root utmp-----指定日志文件的权限

minsize 1M------------规定日志文件增添到1M时轮循

    rotate 1------------------日志文件轮循1次

}

 

/var/log/btmp {

    missingok

    monthly

    create 0600 root utmp

    rotate 1

}

 

# system-specific logs may be also be configured here.

[root@szm logrotate.d]# ll /etc/logrotate.d/ （用来执行具有不同功能的日志轮循策略）

total 60

-rw-r--r--. 1 root root  71 Mar  1 17:41 cups

-rw-r--r--. 1 root root 103 Feb 22 13:03 dracut

-rw-r--r--. 1 root root 185 Dec  5 16:59 httpd

-rw-r--r--. 1 root root 173 Feb 22 09:14 iscsiuiolog

-rw-r--r--. 1 root root 165 Feb 22 14:33 libvirtd

-rw-r--r--. 1 root root 162 Feb 22 14:33 libvirtd.lxc

-rw-r--r--. 1 root root 136 Aug 23  2010 ppp

-rw-r--r--. 1 root root 329 Jul 17  2012 psacct

-rw-r--r--. 1 root root  68 Aug 23  2010 sa-update

-rw-r--r--. 1 root root 219 Feb 23 06:35 sssd

-rw-r--r--. 1 root root 210 Jan 10 00:43 syslog

-rw-r--r--. 1 root root 133 Feb 22 13:42 tomcat6

-rw-r--r--. 1 root root 188 Mar  1 18:15 vsftpd

-rw-r--r--. 1 root root 100 Feb  4 20:50 wpa_supplicant

-rw-r--r--. 1 root root 100 Feb 22 19:26 yum

[root@szm logrotate.d]# cat httpd 

/var/log/httpd/*log {

    missingok ---------如果文件不存在，返回一个错误信息

    notifempty --------不轮循空的日志文件

    sharedscripts

    delaycompress

    postrotate

        /sbin/service httpd reload > /dev/null 2>/dev/null || true

    endscript

}

[root@szm logrotate.d]# logrotate --help

Usage: logrotate [OPTION...] <configfile>

  -d, --debug               Don't do anything, just test (implies -v)

  -f, --force               Force file rotation

  -m, --mail=command        Command to send mail (instead of `/bin/mail')

  -s, --state=statefile     Path of state file

  -v, --verbose             Display messages during rotation

 

Help options:

  -?, --help                Show this help message

  --usage                   Display brief usage message

 

[root@szm logrotate.d]# logrotate -vf /etc/logrotate.conf 

 

[root@szm logrotate.d]# ll /var/log/messages*

-rw-------. 1 root root    543 Mar 13 14:31 /var/log/messages

-rw-------. 1 root root 291977 Feb 28 16:44 /var/log/messages-20130228

-rw-------. 1 root root  12566 Mar  4 17:27 /var/log/messages-20130304

-rw-------. 1 root root 232879 Mar 11 13:23 /var/log/messages-20130311

-rw-------. 1 root root 709007 Mar 13 14:30 /var/log/messages-20130313