日志管理简介
1、日志服务
在CentOS 6.x中日志服务已经由rsyslogd取代了原先的syslogd服务。rsyslogd日志服务更加先进,功能更多。但是不论该服务的使用,还是日志文件的格式其实都是和syslogd服务相兼容的,所以学习起来基本和syslogd服务一致
rsyslogd的新特点:
基于TCP网络协议传输日志信息;
跟安全的网络传输方式;
有日志消息的及时分析框架;
后台数据库;
配置文件中可以写简单的逻辑判断;
与syslog配置文件相兼容。
确认服务启动
ps aux | grep rsyslogd
#查看服务是否启动
chkconfig --list | grep rsyslog
# 查看服务是否自启动
2、常见日志的作用
| 日志文件 | 说明 |
|---|---|
| /var/log/cron | 记录了系统定时任务相关的日志 |
| /var/log/cups/ | 记录打印信息的日志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息。 |
| /var/log/btmp | 记录错误登录的日志。这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看 |
| /var/log/lastlog | 记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件,不能直接vi,而要使用lastlog命令查看。 |
| /var/log/mailog | 记录邮件信息。 |
| /var/log/message | 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。比如说系统的登录,ssh的登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。 |
| /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看。 |
| /var/run/utmp | 记录当前已经登录的用户的信息,这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询。 |
除了系统默认的日志之外,采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录中(源码包安装的服务日志是在源码包指定目录中)。不过这些日志不是由rsyslogd服务来记录和管理的,而是各个服务使用自己的日志管理文档来记录自身日志。
| 日志文件 | 说明 |
|---|---|
| /var/log/httpd/ | RPM包安装的apache服务的默认日志目录 |
| /var/lod/mail/ | RPM包安装的邮件服务的额外日志目录 |
| /var/log/samba/ | RPM包安装的samba服务的日志目录 |
| /var/log/sssd/ | 守护进程安全服务目录 |
rsyslogd日志服务
1、日志文件格式
基本日志格式包含以下四列:
事件产生的时间;
发生时事件的服务器的主机名;
产生事件的服务名或程序名;
事件的具体信息。
2、/etc/rsyslog.conf配置文件
authpriv.* /var/log/secure
#服务名称[连接符号]日志等级 日志记录位置
# 认证相关服务.所有日志等级 记录在/var/log/secure日志中
| 服务名称 | 说明 |
|---|---|
| auth | 安全和认证相关消息(不推荐使用authpriv替代) |
| authpriv | 安全和认证相关消息(私有的) |
| cron | 系统定时任务cront和at产生的日志 |
| daemon | 和各个守护进程相关的日志 |
| ftp | ftp守护进程产生的日志 |
| kern | 内核产生的日志(不是用户进程产生的) |
| local0-local7 | 为本地使用预留的服务 |
| lpr | 打印产生的日志 |
连接符号
连接符号可以识别为:
“ * ” 代表所有日志等级,比如:“ authpriv.* ” 代表authpriv认证信息服务产生的日志,所有的日志等级都记录
“ . ” 代表只要比后面的等级高的(包含该等级)日志都记录下来。比如:”cron.info“ 代表cron服务产生的日志,只要日志等级大于等于info级别,就记录
” .= “代表只记录所需等级的日志,其他等级的都不记录。比如:” *.=emerg “ 代表任何日志服务产生的日志,只要等级是emerg等级就记录。这种用法及少见,了解就好
” .! “代表不等于,也就是除了该等级的日志外,其他等级的日志都记录
日志等级
| 等级名称 | 说明 |
|---|---|
| debug | 一般的调试信息说明 |
| info | 基本的通知信息 |
| notice | 普通信息,但是有一定的重要性 |
| warning | 警告信息,但是还不会影响到服务或系统的运行 |
| err | 错误信息,一般达到err等级的信息已经可以影响到服务或系统的运行了 |
| crit | 临界状况信息,比err等级还要严重 |
| alert | 警告状态信息,比crit还要严重。必须立即采取行动 |
| emerg | 疼痛登记信息,系统已经无法使用了 |
日志轮替
1、日志文件的命名规则
如果配置文件中拥有 ” dateext “ 参数,那么日志会用日期来作为日志文件的后缀,例如 ” secure-20181125“. 这样的话日志文件名不会重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可。
如果配置文件中没有”dateext“参数,那么日志文件就需要进行改名了。当第一次进行日志轮替时,当前的 ” secure “ 日志会自动改名为 ” secure.1 “,然后新建 ” secure “ 日志,用来保存新的日志。当第二次进行日志轮替时,” secure.1 “ 会自动改名为 ”secure.2 “, 当前的 ”secure “ 日志会自动改名为” secure.1 “,然后也会新建 ” secure “ 日志,用来保存新的日志,以此类瑞。
2、logrotate配置文件
| 参数 | 参数说明 |
|---|---|
| daily | 日志的轮替周期是每天 |
| weekly | 日志的轮替周期是每周 |
| monthly | 日志的轮替周期是每月 |
| rotate 数字 | 保留的日志文件的个数。0指的是没有备份 |
| compress | 日志轮替时,旧的日志进行压缩 |
| create mode owner group | 建立新日志,同时指定新日志的权限与所有者和所属组。如create 0600 root utmp |
| mail address | 当日志轮替时,输出内容通过邮件发送到指定的邮件地址。如mail wangwei@163.com |
| missingok | 如果日志不存在,则忽略该日志的警告信息 |
| notifempty | 如果日志为空文件,则不进行日志轮替 |
| minsize 大小 | 日志轮替的最小值。也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替 |
| size 大小 | 日志只有大于指定大小才进行日志轮替,而不是按照时间轮替。如size 100k |
| dateext | 使用日期作为日志轮替文件的后缀。如secure-20181125 |
3、把apache日志加入轮替
vi /etc/logrotate.conf
/usr/local/aoache2/logs/access_log{
daily
create
route 30
}
4、logrotate命令
logrotate 【选项】 配置文件名
选项:
如果此命令没有选项,则会按照配置文件中的条件进行日志轮替
-v:显示日志轮替过程。加了-v选项会显示日志的轮替过程
-f:强制进行日志轮替。不管日志轮替的条件是否已经符合,强制配置文件中所有的日志进行轮替
