15、日志管理-2

日志管理2

1、日志服务的配置文件

    [loring ~]# vim /etc/rsyslog.conf

            # Provides UDP syslog reception  //提供接收远程日志的服务的

            #$ModLoad imudp

            #$UDPServerRun 514


            #### GLOBAL DIRECTIVES ####  //全局配置部分

              # Include all config files in /etc/rsyslog.d/

            $IncludeConfig /etc/rsyslog.d/*.conf    //表示包含/etc/rsyslog.d/目录下所有以.conf结尾的配置文件


            *.info;mail.none;authpriv.none;cron.none                /var/log/messages

              authpriv.*                                            /var/log/secure

              mail.*                                                  -/var/log/maillog

              cron.*                                                  /var/log/cron

            *.emerg                                                *

              uucp,news.crit                                          /var/log/spooler

              local7.*                                                    /var/log/boot.log

            服务或者设备.日志的级别                          日志记录到哪个文件


            local0~local7:自定义的服务名


2、authpriv.* 

      服务或者设备.日志的级别

      1)服务名称

            authpriv(auth):用户授权相关的,认证等  ssh、login、su等

            cron:和计划任务相关的服务

            mail:和邮件相关的

            news:新闻相关的  uucp

            kern:和内核相关的

            lpr:打印机相关的

            syslog:和rsyslogd进程相关的

            local0~local7:自定义服务名称

    2)日志的级别:级别越高、日志越少

            (1)none:不记录日志

            (2)debug:调试信息

            (3)info:一般的通知信息

            (4)notice:提醒信息,比info稍微重要点

            (5)warning(warn):警告信息,可能有问题

            (6)err(error):错误信息

            (7)critical(crit):比较严重的错误

            (8)alert:警报信息,需要立即行动

            (9)emerg(panic):紧急(恐慌),系统可能已经不可用了

    3)服务名称.日志等级的表示

            .  —— mail.warning  表示记录mail服务,warning及其以上级别的日志

            .=  —— mail.=warning  表示记录mail服务warning级别日志

            .! —— mail.!warning 表示除了warning级别以外的,其他级别的所有日志都记录

            .none —— 表示不记录

            * —— 表示所有

            *.  —— 表示所有服务

            .* —— 表示所有日志级别

            *.* —— 所有服务的所有级别的日志

小实验

    [loring ~]# vim /etc/rsyslog.conf  在第46行添加如下行:

        authpriv.*                                              /usr/local/secure      //自己规定一个日志文件

    [loring ~]# /etc/init.d/rsyslog restart

    标签一:

    [loring ~]# tail -0f /usr/local/secure


    标签二:

        [loring ~]# su - test

        [test@server150 ~]$ su - root

            Password:

            su: incorrect password

    看标签一的日志变化。

        [loring ~]# tail -0f /usr/local/secure

            Aug  3 12:41:47 server150 su: pam_unix(su-l:session): session closed for user test

            Aug  3 12:41:51 server150 su: pam_unix(su-l:session): session opened for user test by root(uid=0)

            Aug  3 12:41:55 server150 su: pam_unix(su-l:auth): authentication failure; logname=root uid=500 euid=0 tty=pts/5 ruser=test rhost=  user=root

        注意:

            1)书写错误

            2)selinux必须要关闭的或者是permissive模式,否则无法自动生成你配置的日志文件

为了防止别人修改我的日志,如何做?

    [loring ~]# chattr +a /var/log/secure


远程日志  :可以做日志的备份,也可以做日志的集中管理

    集中管理日志的软件:splunk  ELK

    环境:

        172.16.12.250  远程服务器

        172.16.254.251  本地服务器

    1、本地配置

        [loring ~]# vim /etc/rsyslog.conf

                *.*    @172.16.12.250    // 此处IP为远程服务器IP

    2、远程服务器配置

        [loring ~]# vim /etc/rsyslog.conf

        # Provides UDP syslog reception  开启接收远程日志的功能

                $ModLoad imudp

                $UDPServerRun 514

  3、本地服务器和远程服务器分别重启rsyslog服务

        [loring ~]# /etc/init.d/rsyslog restart    //254.251

            Shutting down system logger:                              [  OK  ]

            Starting system logger:                                    [  OK  ]

        [root@srv12 ~]# /etc/init.d/rsyslog restart            //12.250

            Shutting down system logger:                              [  OK  ]

            Starting system logger:                                    [  OK  ]

  4、验证

        在本地随意切换几次路径

        在远程动态监控日志


        注意:

            1)服务别忘记重启

            2)本地selinux关闭

            3)远程主机的防火墙关闭

            4)尽量不要互相传日志

日志的轮替、日志的轮滚

    为什么要轮滚?

        1)防止日志文件过大

        2)定期清除日志


日志轮滚的配置文件

    # vim /etc/logrotate.conf

    # grep -v ^# /etc/logrotate.conf | grep -v ^$

        weekly      //轮滚的周期,一周一轮滚,默认每一周执行一次rotate轮转工作

        rotate 4    //保留多少个日志文件(轮转几次).默认保留四个.就是指定日志文件删除之前轮转的次数,0 指没有备份

        create      //旧日志轮滚后是否创建新的空白日志

        dateext    //就是切割后的日志文件以当前日期为格式结尾,如xxx.log-20131216这样,如果注释掉,切割出来是按数字递增,即 xxx.log-1这种格式

compress      //是否通过gzip压缩转储以后的日志文件,如xxx.log-20131216.gz ;如果不需要压缩,注释掉就行

        include /etc/logrotate.d    //包含该路径下的所有配置文件

        /var/log/wtmp {            //仅针对 /var/log/wtmp 所设定的参数

            monthly                    //轮滚周期,一个月

            create 0664 root utmp  //创建新的日志文件  权限664 所有者root 所属组utmp

        minsize 1M                  //文件大小超过 1M 后才会切割

            rotate 1                     

        }

        /var/log/btmp {

            missingok              //丢了也没关系

            monthly

            create 0600 root utmp

            rotate 1

        }

        其他重要参数说明

---------------------------------------------------------------------------------------------------------

compress                通过gzip 压缩转储以后的日志

nocompress              不做gzip压缩处理

copytruncate            用于还在打开中的日志文件,把当前日志备份并截断;是先拷贝再清空的方式,拷贝和清空之间有一个时间差,可能会丢失部分日志数据。

nocopytruncate          备份日志文件不过不截断

create mode owner group  轮转时指定创建新文件的属性,如create 0777 nobody nobody

nocreate                  不建立新的日志文件

delaycompress            和compress 一起使用时,转储的日志文件到下一次转储时才压缩

nodelaycompress          覆盖 delaycompress 选项,转储同时压缩。

missingok                如果日志丢失,不报错继续滚动下一个日志

errors address            转储时的错误信息发送到指定的Email 地址

ifempty                  即使日志文件为空文件也做轮转,这个是logrotate的缺省选项。

notifempty                当日志文件为空时,不进行轮转

mail address              把转储的日志文件发送到指定的E-mail 地址

nomail                    转储时不发送日志文件

olddir directory          转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统

noolddir                  转储后的日志文件和当前日志文件放在同一个目录下

sharedscripts            运行postrotate脚本,作用是在所有日志都轮转后统一执行一次脚本。如果没有配置这个,那么每个日志轮转后都会执行一次脚本

prerotate                在logrotate转储之前需要执行的指令,例如修改文件的属性等动作;必须独立成行

postrotate                在logrotate转储之后需要执行的指令,例如重新启动 (kill -HUP) 某个服务!必须独立成行

daily                    指定转储周期为每天

weekly                    指定转储周期为每周

monthly                  指定转储周期为每月

rotate count              指定日志文件删除之前转储的次数,0 指没有备份,5 指保留5 个备份

dateext                  使用当期日期作为命名格式

dateformat .%s            配合dateext使用,紧跟在下一行出现,定义文件切割后的文件名,必须配合dateext使用,只支持 %Y %m %d %s 这四个参数

size(或minsize) log-size  当日志文件到达指定的大小时才转储,log-size能指定bytes(缺省)及KB (sizek)或MB(sizem).

当日志文件 >= log-size 的时候就转储。 以下为合法格式:

size = 5 或 size 5 (>= 5 个字节就转储)

size = 100k 或 size 100k

size = 100M 或 size 100M

查看某个服务的日志是否轮滚

    [loring logrotate.d]# cat /etc/logrotate.d/syslog

        /var/log/cron

        /var/log/maillog

        /var/log/messages

        /var/log/secure

        /var/log/spooler

        {

            sharedscripts    //与endscript中间夹的是需要执行的操作         

            postrotate              //轮滚后执行的命令

        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true  //重新加载配置

            endscript

        }

小实验:

1、修改配置文件,添加一行自己定义的内容,重启服务

    [loring log]# vim /etc/rsyslog.conf

        authpriv.*                                              /usr/local/secure

    [loring log]# /etc/init.d/rsyslog restart

2、自己编写轮滚配置文件

    [loring log]# vim /etc/logrotate.d/secure

        /usr/local/secure {

            missingok

            notifempty

            daily

            create

            rotate 4

            compress

        }

3、手动轮滚日志文件

    [loring log]# logrotate -vf /etc/logrotate.d/secure

    [loring log]# cd /usr/local

    [loring local]# ls secure*

        secure  secure.1.gz


实验续

[loring log]# vim /etc/logrotate.d/ secure

    /usr/local/secure {

        sharedscripts

            prerotate

        /usr/bin/chattr -a /usr/local/secure  只能追加,不能vi编辑

        endscript

        missingok

        notifempty

        daily

        create

        rotate 4

        compress

        sharedscripts

        postrotate

        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null  //重读配置

        /usr/bin/chattr +a /usr/local/secure

        endscript

    }

[loring local]# /etc/init.d/rsyslog restart

[root@server1 local]# chattr +a /usr/local/secure

[loring local]# logrotate -vf /etc/logrotate.d/secure

[loring local]# lsattr secure

    -----a-------e- secure

/dev/null:空,不管你向它扔什么,都是空

2> :标准错误输出重定向

    [root@server1 local]# ls secure

        secure

    [root@server1 local]# ls asdf

        ls: cannot access asdf: No such file or directory

    [root@server1 local]# ls asdf > /tmp/asdf

        ls: cannot access asdf: No such file or directory

    [root@server1 local]# ls asdf 2> /tmp/asdf

    [root@server1 local]# cat /tmp/asdf

        ls: cannot access asdf: No such file or directory

2>> :标准错误输出追加重定向

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,482评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,377评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,762评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,273评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,289评论 5 373
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,046评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,351评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,988评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,476评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,948评论 2 324
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,064评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,712评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,261评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,264评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,486评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,511评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,802评论 2 345

推荐阅读更多精彩内容