bilibili Linux14 日誌管理

日誌服務

在centos 6.x中日誌服務已經由rsyslogd取代了原先的syslogd服務。rsyslogd日誌服務更加先進，功能更多。但是不論該服務的使用，還是日誌檔案的格式其實都是和syslogd服務相相容的，所以學習起來基本和syslogd服務一致。

rsyslogd的新特點:

確定服務啟動

ps aux | grep rsyslogd

檢視服務是否啟動

chkconfig --list | grep rsyslog

檢視服務是否自啟動

centos 7 變為 systrmctl list-unit-files | grep rsyslog

常見日誌的作用

日誌檔案

說明/var/log/cron

記錄了系統定時任務相關的日誌。

/var/log/cups/

記錄列印資訊的日誌

/var/log/dmesg

記錄了系統在開機時核心自檢的資訊。也可以使用 dmesg命令直接檢視核心自檢資訊。

/var/log/btmp

記錄錯誤登入的日誌。這個檔案是二進位制檔案，不能直接vi檢視，而要使用lastb命令檢視，命令如下: lastbroot tty1 tue jun 4 22:38 - 22:38 (00:00) 有人在6月4日22:38使用root使用者，在本地終端1登入錯誤

/var/log/lastlog

記錄系統中所有使用者最後一次的登入時間的日誌。這個檔案也是二進位制檔案，不能直接vi，而要使用lastlog命令檢視。

/var/log/mailog

記錄郵件資訊。

/var/log/message

記錄系統重要資訊的日誌。這個日誌檔案中會記錄linux系統的絕大

/var/log/secure

記錄驗證和授權方面的資訊，只要涉及賬戶和密碼的程式都會記錄。比如說系統的登入，ssh的登入，su切換使用者，sudo授權，甚至新增使用者和修改使用者密碼都會記錄在這個日誌檔案中。

/var/log/wtmp

永久記錄所有使用者的登入、登出資訊，同時記錄系統的啟動、重啟、關機事件。同樣這個檔案也是乙個二進位制檔案，不能直接vi，而需要使用last命令來檢視。

/var/run/utmp

記錄當前已經登入的使用者的資訊。這個檔案會隨著使用者的登入和注銷而不斷變化，只記錄當前登入使用者的資訊。同樣這個檔案不能直接vi，而要使用w，who，users等命令來查詢。

除了系統預設的日誌之外，採用rpm方式安裝的系統服務也會預設把日誌記錄在/var/log/目錄中(原始碼包安裝的服務日誌是在原始碼包指定目錄中)。不過這些日誌不是由rsyslogd服務來記錄和管理的，而是各個服務使用自己的日誌管理文件來記錄自身日誌。

日誌檔案

說明/var/log/httpd/

rpm包安裝的apache服務的預設日誌目錄

/var/log/mail/

rpm包安裝的郵件服務的額外日誌目錄

/var/log/samba/

rpm包安裝的samba服務的日誌目錄

/var/log/sssd/

守護程序安全服務目錄

日誌檔案格式

基本日誌格式包含以下四列:

/etc/rsyslog.conf配置檔案

寫入這個檔案可以自定義需要記錄日誌的程式

authpriv.*/var/log/secure

服務名稱[連線符號]日誌等級日誌記錄位置

認證相關服務.所有日誌等級記錄在/var/log/secure日誌中

服務名稱

服務名稱

說明auth

authpriv

安全和認證相關訊息(私有的)

cron

系統定時任務cront和at產生的日誌

daemon

和各個守護程序相關的日誌

ftpftp守護程序產生的日誌

kern

核心產生的日誌(不是使用者程序產生的)

local0-local7

為本地使用預留的服務

lpr列印產生的日誌

mail

郵件收發資訊

news

與新聞伺服器相關的日誌

syslog

有syslogd服務產生的日誌資訊(雖然服務名稱已經改為rsyslogd，但是很多配置都還是沿用了syslogd的，這裡並沒有修改服務名)。

user

使用者等級類別的日誌資訊

uucp

uucp子系統的日誌資訊，uucp是早期linux系

統進行資料傳遞的協議，後來也常用在新聞組服務中。

連線符號

連線符號可以識別為:

日誌等級

等級名稱

說明debug

一般的除錯資訊說明

info

基本的通知資訊

notice

普通資訊，但是有一定的重要性

warning

警告資訊，但是還不回影響到服務或系統的執行

err錯誤資訊，一般達到err等級的資訊以及可以影響到服務或系統的執行了。

crit

臨界狀況資訊，比err等級還要嚴重

alert

警告狀態資訊，比crit還要嚴重。必須立即採取行動

emerg

疼痛等級資訊，系統已經無法使用了

日誌記錄位置

日誌檔案的命名規則

如果配置檔案中擁有「dateext」引數，那麼日誌會用日期來作為日誌檔案的字尾，例如「secure-20130605」。這樣的話日誌檔名不會重疊，所以也就不需要日誌文件的改名，只需要儲存指定的日誌個數，刪除多餘的日誌檔案即可。

如果配置檔案中沒有「dateext」引數，那麼日誌檔案就需要進行改名了。當第一次進行日誌輪替時，當前的「secure」日誌會自動改名為「secure.1」，然後新建「secure」日誌，用來儲存新的日誌。當第二次進行日誌輪替時，「secure.1」會自動改名為「secure.2」，當前的「secure」日誌會自動改名為「secure.1」，然後也會新建「secure」日誌，用來儲存新的日誌，以此類推。

logrotate配置檔案引數

引數說明

daily

日誌的輪替週期是每天

weekly

日誌的輪替週期是每週

monthly

日誌的輪替週期是每月

rotate 數字

保留的日誌檔案的個數。0指沒有備份

compress

日誌輪替時，舊的日誌進行壓縮

create mode owner group

建立新日誌，同時指定新日誌的許可權與所有者和所屬組。如create 0600 root utmp

mail address

當日誌輪替時，輸出內容通過郵件傳送到指定的郵件位址。如mail [email protected]

missingok

如果日誌不存在，則忽略該日誌的警告資訊

notifempty

如果日誌為空檔案，則不進行日誌輪替

minsize 大小

日誌輪替的最小值。也就是日誌一定要達到這個最小值才會輪替，否則就算時間達到也不輪替size 大小日誌只有大於指定大小才進行日誌輪替，而不是按照時間輪替。如size 100k

dateext

使用日期作為日誌輪替檔案的字尾。如secure- 20130605

在/etc/logrotate.conf 配置檔案裡修改輪替規則，下面大括號外面的變數相當於區域性變數，而大括號裡面的相當於全域性變數，只有大括號裡面沒有宣告，外面的才生效，一旦大括號宣告了，大括號裡面的優先順序高於外面，優先生效

把apache日誌加入輪替

vi /etc/logrotate.conf /usr/local/apache2/logs/access_log

一般只有原始碼包安裝才需要這樣加入，rpm包在安裝時候會自動做日誌

logrotate命令

logrotate [選項] 配置檔名

如果此命令沒有選項，則會按照配置檔案中的條件進行

日誌輪替

bilibili Linux14 日誌管理

bilibili Linux8 許可權管理

bilibili Linux7 使用者和使用者組管理

現代笑話14

bilibili Linux14 日誌管理

bilibili Linux8 許可權管理

bilibili Linux7 使用者和使用者組管理

現代笑話14

相關推薦