开发笔记:Linux的日志文件

功能&＃xff1a;

• 用于记录系统、程序运行中发生的各种事件
• 通过阅读日志&＃xff0c;有助于诊断和解决系统故障

1.内核及系统日志

• 由系统服务 rsyslog 统一进行管理&＃xff0c;日志格式基本相似
• 主配置文件 /etc/rsyslog.conf

2.用户日志

• 记录系统用户登录及退出系统的相关信息
• 主配置文件 /var/log/secure

3.程序日志

• 由各种应用程序独立管理的日志文件&＃xff0c;记录格式不统一

1.文件位置&＃xff1a;/var/log/secure:

• 记录用户认证相关的安全事件信息

2.文件位置/var/log/lastlog

• 记录每个用户最近的登录事件&＃xff0c;二进制格式

3.文件位置/var/log/wtmp

• 记录每个用户登录、注销及系统启动和关机事件&＃xff0c;比如黑客恶意破解账号的信息&＃xff1b;二进制格式

4.文件位置/var/run/utpm

• 记录当前登录的每个用户的详细信息

5.文件位置/var/run/btmp

• 记录失败的、错误的登录尝试及验证事件&＃xff0c;二进制格式

文件位置&＃xff1a;/var/log/maillog&＃xff1a;

• 记录进入或发出系统的电子邮件活动&＃xff0c;现在Linux 中很少使用系统邮件了

文件位置&＃xff1a;/var/log/dmesg&＃xff1a;

• 记录Linux系统在引导过程中的各种事件信息

文件位置&＃xff1a;/var/log/cron&＃xff1a;

• 记录 crond 计划任务产生的事件信息&＃xff0c;比如通过 at 、crontab 命令增加的定时任务执行记录

文件位置&＃xff1a;/var/log/messages&＃xff1a;

• 记录 Linux内核 消息及各种 应用程序 的公共日志信息&＃xff0c;包括启动、IO错误、网络错误、程序故障 等。对于未使用独立日志文件的应用程序或服务&＃xff0c;一般都可以从该日志文件中获得相关的事件记录信息。最重要的日志文件

1.文件位置/etc/rsyslog.conf

• 系统内核日志配置文件&＃xff1a;/etc/rsyslog.conf
• 日志等级&＃xff0c;用消息名表示&＃xff1a;

查看rsyslog.conf配置文件
vim /etc/rsyslog.conf 编写文件
*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.info #表示info等级及以上的所有等级的信息都写到【对应的日志文件】里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件、cron&＃xff0c;分号隔开)
cron.DEBUG #给计划任务DEBUG 日志级别


如图&＃xff1a;

1. Linux系统内核日志消息的优先级别&＃xff1a;

数字等级越小&＃xff0c;优先级越高&＃xff0c;消息越重要

• 0 EMERG&＃xff08;紧急&＃xff09;&＃xff1a;会导致主机系统不可用的情况

• 1 ALERT&＃xff08;警告&＃xff09;&＃xff1a;必须马上采取措施来解决的问题

• 2 CRIT&＃xff08;严重&＃xff09;&＃xff1a;比较严重的情况

• 3 ERR&＃xff08;错误&＃xff09;&＃xff1a;运行出现的错误

• 4 WARNING&＃xff08;提醒&＃xff09;&＃xff1a;可能影响系统功能&＃xff0c;需要提醒用户的重要事件。

• 5 NOTICE&＃xff08;注意&＃xff09;&＃xff1a;不会影响正常功能&＃xff0c;但是需要注意的事件

• 6 INFO&＃xff08;信息&＃xff09;&＃xff1a;一般信息

• 7 DEBUG&＃xff08;调试&＃xff09;&＃xff1a;程序或系统调式信息等

• 内容格式

• 通常红颜色 或 红色底纹的信息是产生的错误日志&＃xff1b;
  如图&＃xff1a;
  

1.由各种应用程序独立管理的日志文件

• Web服务&＃xff1a;/var/log/httpd/ 目录中
  
  • access_log #记录客户访问事件
  • error_log #记录错误事件
• 代理服务&＃xff1a;/var/log/squid/
  
  • access.log、cache.log
• 分析工具
• 文本查看、grep 过滤检索、Webmin 管理套件中查看
• awk、sed 等文本过滤、格式化编辑工具
• Webalizer、Awstats 等专用日志分析工具
• 建议将日志文件 拿到 window 中使用 格式化文件进行查看&＃xff0c;如 editplus、notepad 等

2.程序日志分析,由相应的应用程序独立进行管理
比如我通过浏览器访问当前服务器IP&＃xff0c;就会在 /var/log/httpd/access_log 文件中留有记录
如图&＃xff1a;


小结&＃xff1a;

1. 日常运维中应及时作好备份和归档
2. 延长日志保存期限
3. 控制日志访问权限&＃xff1a;日志中可能会包含各类敏感信息&＃xff0c;如账户、口令等
4. 集中管理日志