1.在ubuntu伺服器上,日誌是通過syslogd程序處理的。該程序讀取如下配置檔案:/etc/syslog.conf該檔案主要配置哪些資訊需要記錄日誌,記錄到什麼地方。在該配置檔案的第一部分,是對系統設施日誌的配置,主要有:auth:有關認證...
1.在ubuntu伺服器上,日誌是通過syslogd程序處理的。該程序讀取如下配置檔案:
/etc/syslog.conf
該檔案主要配置哪些資訊需要記錄日誌,記錄到什麼地方。
在該配置檔案的第一部分,是對系統設施日誌的配置,主要有:
auth:有關認證程序的資訊;
daemo:有關守護程序的資訊;
kern:有關系統核心的資訊;
mail:有關郵件系統的資訊;
其它: 相關資訊;
比如,可以看到有關守護程序的日誌,以下是檢視時間伺服器守護程序的日誌:
sudo cat /var/log/daemon.log | grep ntp
2.日誌級別,和log4j的級別概念類似。有:
debug(除錯) 與none(不需登入等級);
info:一些基本的資訊;
notice:比info需要被注意到的一些資訊內容;
warning:警示的訊息,可能有問題, 但是還不至於影響到某個 daemon 運作的資訊;基本上, info, notice, warn 這三個訊息都是在告知一些基本資訊,應該還不至於造成一些系統運作困擾;
err:一些重大的錯誤訊息, 例如設定檔案的某些設定值造成該服務服法啟動的資訊說明,通常通過err的錯誤告知,應該可以了解到該服務無法啟動的問題;
crit:比error還要嚴重的錯誤資訊,這個crit是臨界點(critical)的縮寫,這個錯誤已經很嚴重;
alert:警告,已經很有問題的等級,比crit還要嚴重;
emerg:緊急,系統已經幾乎要當機的狀態。很嚴重的錯誤資訊。通常大概只有硬體出問題,導致整個核心無法順利運作,就會出現這樣的等級的資訊。
有關硬體的日誌,dmesg。
有關登入錯誤的日誌資訊,使用如下命令:
faillog
檢視即插即用裝置的日誌:
sudo tail /var/log/udev -f
另外,可以通過命令直接寫日誌資訊到檔案:
logger 『中文』
預設情況下,可以在/var/log/syslog或者/var/log/messages檔案中找到該日誌資訊。也可以寫入到指定的檔案中。
其他有用的日誌:
/var/log/apt/term.log,apt操作日誌
dd其他有關日誌的命令。
比如檢視最後登入使用者:
sudo lastlog
3.日誌使用舉例:
1)允許 syslog 記錄外部日誌
修改 /etc/default/syslogd,把其中的 syslogd="" 改為 syslogd="-r"
2)定義外部日誌型別
修改 juniper isg1000 日誌定義,讓其生成的日誌定義為 local7,並向 ubuntu 伺服器傳送日誌。
3)定義日誌檔案
考慮到日誌檔案比較多,在 /var/log 下新建 firewall 目錄,用於儲存日誌檔案。目錄屬性 755。
修改 /etc/syslog.conf,在其中增加下面一行:
local7.*
-/var/log/firewall/firewall.log
4)重覆記錄問題
syslog 不光在 firewall.log 中記錄,還在 /var/log 中的 syslog 和 messages 記錄,由於日誌很大,這下麻煩了。看看 syslog.conf 的 man,居然還有個 ! 功能,在 syslog.conf 檔案中的 syslog 和 messages 定義前面加上了 !local7.*,感覺不錯,syslog 不再向 syslog 和 messages 檔案中記錄裝置日誌了。
5)檔案超大問題
syslog 記錄的日誌檔案最大不超過2.5g,如果超過了,將停止記錄。而 isg1000 4個小時左右的日誌就達到這個數量了。必須設定日誌輪轉。在 /etc/logrotate.d 中新建 firewall 日誌輪轉控制檔案,屬性644,firewall 內如如下:
/var/log/firewall/firewall.log
以上內容簡單解釋:
由於日誌檔案需要儲存3個月,且平均每天生成5個日誌檔案,設定最多保留512個,保留時間100天。
檔案字尾編號從1000開始,比從1開始在排序上要好看。
檔案超過1500m的時候輪轉。
為了減少儲存空間占用,輪轉後的日誌檔案需要壓縮,但不是輪轉後馬上壓縮,而是輪轉下乙個的時候,再壓縮,以防 syslog 繼續寫入當前檔案時候丟失資料。
經過以上設定,感覺可以,誰知道使用幾天,發現還有問題。
6)再次解決檔案超大問題
firewall.log 檔案依然是2g多,沒有按照設定達到1500m的時候輪轉,究竟為什麼?仔細看 man logrotate ,呵呵,原來如此,logrotate 每天執行一次,等它執行的時候,firewall.log 早就達到2g了。怎麼辦,讓它每小時執行一次試試看,把 /etc/cron.daily/logtotate 檔案拷貝到 /etc/cron.hourly 中乙份。效果不錯,看來問題解決了。
7)解決日誌檔案不到1500m就輪轉、且日誌檔名沒有按定義規則生成問題
經過若干天執行,發現個小小問題。若干檔案不到設定的1500m就輪轉了,而且檔名沒有按定義方式生成,而是原始的 firewall.log.0 方式,但是它們都有共性,都是早上 6:47 生成的。讓我想想,肯定是 cron 中 sysklogd 指令碼搞的鬼。進入 /etc 中的各個 cron 子目錄中,把下面這句或者類似的
logs=$(syslogd-listfiles)
加上 -s firewall.log 引數,改為
logs=$(syslogd-listfiles -s firewall.log)
讓日誌服務不再處理 firewall.log 日誌。
Linux 相關系統日誌檢視
cat var log secure 涉及到賬號登入的日誌資訊都會記錄在此檔案中。journalctl 可以檢視所有 unit 的日誌資訊,日誌的配置檔案 etc systemd journald.conf 2.1 journalctl 用法 u 根據unit進行過濾,檢視kubelet的日誌資訊,...
檢視系統日誌
可以在 控制面板 管理工具 中找到 事件檢視器 的蹤影外,也可以在 執行 對話方塊中手工鍵入 systemroot system32 eventvwr msc s 開啟事件檢視器視窗。1 應用程式日誌 包含由應用程式或系統程式記錄的事件,主要記錄程式執行方面的事件,例如資料庫程式可以在應用程式日誌中...
日誌檢視 怎樣檢視Linux系統日誌?
很多企業都會使用linux系統,審計linux系統日誌可以提供有關網路事件的重要資訊。高效檢視linux系統日誌對工作而言十分重要,以下是常用命令 uname a 檢視核心 作業系統 cpu資訊 cat etc issue cat etc redhat release 檢視作業系統版本 cat pr...