LINUX学习基础篇（三十五）日志管理

日志管理

现在centos中使用的是rsyslogd日志管理服务&＃xff0c;是之前syslogd的升级版。
Linux中的日志文件一般保存在/var/log目录下。

[root&＃64;localhost log]# ls
anaconda cron-20220206 kdump.log private vmware-network.2.log
audit cron-20220221 lastlog secure vmware-network.3.log
boot.log cron-20220227 mail secure-20220206 vmware-network.4.log
boot.log-20220204 cron-20220306 maillog secure-20220221 vmware-network.5.log
boot.log-20220206 dnf.librepo.log maillog-20220206 secure-20220227 vmware-network.6.log
boot.log-20220221 dnf.log maillog-20220221 secure-20220306 vmware-network.7.log
boot.log-20220307 dnf.rpm.log maillog-20220227 spooler vmware-network.8.log
boot.log-20220308 firewalld maillog-20220306 spooler-20220206 vmware-network.9.log
boot.log-20220309 hawkey.log messages spooler-20220221 vmware-network.log
boot.log-20220311 hawkey.log-20220206 messages-20220206 spooler-20220227 vmware-vgauthsvc.log.0
btmp hawkey.log-20220221 messages-20220221 spooler-20220306 vmware-vmsvc-root.log
btmp-20220304 hawkey.log-20220227 messages-20220227 sssd vmware-vmtoolsd-root.log
chrony hawkey.log-20220306 messages-20220306 tuned wtmp
cron httpd pcp vmware-network.1.lo


系统中常见的日志文件

rpm包安装的服务记录的日志才会/var/log目录下&＃xff0c;源码包安装服务的日志则是在源码包指定目录中。

日志文件格式

只要是由日志服务rsyslogd记录的日志文件&＃xff0c;格式都是一样的&＃xff0c;基本日志格式有以下四列&＃xff1a;

• 事件产生的事件
• 发生事件的服务器的主机名
• 产生事件的服务名或程序名
• 事件的具体信息

rsyslogd服务的配置文件

/etc/rsyslog.conf配置文件格式 &＃xff1a;

[root&＃64;localhost log]# vim /etc/rsyslog.conf
...
mail.* -/var/log/maillog
#mail服务名 .连接符 *日志登记 -是指先存在内存中&＃xff0c;存满后存在磁盘里 /var/log/maillog存放位置
*.emerg :omusrmsg:*
#如果情况比emerg严重的&＃xff0c;通知给所有用户
...


日志服务连接符号&＃xff1a;

• “.”&＃xff1a;代表只要比后面等级高&＃xff0c;就记录。
• “.&＃61;”&＃xff1a;代表只记录所需等级的日志。
• “.!”&＃xff1a;除了该等级的日志&＃xff0c;都记录。

日志等级

/etc/rsyslog.d/

# Include all config files in /etc/rsyslog.d/include(file&＃61;"/etc/rsyslog.d/*.conf" mode&＃61;"optional")


这一行的意思是所有/etc/syslog.d/*.conf的文件都会被包括进来&＃xff0c;所以要想给指定的服务添加日志管理&＃xff0c;可以写入/etc/rsyslog.conf,也可以在/etc/rsyslog.d/文件中添加日志管理文件。

日志轮替

在工作中&＃xff0c;我们需要保存一定时间范围内的日志文件&＃xff0c;以分析和预防系统中可能出现的问题&＃xff0c;这个时候&＃xff0c;logrotate服务就很重要了&＃xff0c;它是Linux提供的日志轮替服务。
日志轮替的功能就是把旧的日志文件改名&＃xff0c;同时建立新的日志文件&＃xff0c;把超过保存范围时间的日志文件给删除。如果配置文件中有"dateext"参数&＃xff0c;那么logrotate将会用日期来作为旧日志的后缀。

logrotate配置文件

[root&＃64;localhost log]# vim /etc/logrotate.conf
# see "man logrotate" for details
# rotate log files weekly
weekly
#轮替时间&＃xff0c;一周轮替一次# keep 4 weeks worth of backlogs
rotate 4
#会保存4个旧文件# create new (empty) log files after rotating old ones
create# use date as a suffix of the rotated file
dateext
#旧日志会用日期作为后缀# uncomment this if you want your log files compressed
#compress
#轮替日志是否要压缩&＃xff0c;默认是关闭的# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
#/etc/logrotate.d中的文件被包括进来&＃xff0c;也是logrotate的配置文件# system-specific logs may be also be configured here.


英文是官方注释&＃xff0c;中文是解释了一下。

配置文件夹 /etc/logrotate.d

[root&＃64;localhost logrotate.d]# ls
bootlog btmp chrony dnf firewalld httpd kvm_stat sssd syslog wtmp
[root&＃64;localhost logrotate.d]# vim /etc/logrotate.d/httpd /var/log/httpd/*log {missingoknotifemptysharedscriptsdelaycompresspostrotate/bin/systemctl reload httpd.service > /dev/null 2>/dev/null || trueendscript
}


logrotate配置文件的参数解释&＃xff1a;

注&＃xff1a;
被轮替日志的服务和rsyslogd需要在轮替后重启一次&＃xff0c;否则无法正常运行。

把自己日志加入轮替

• 直接写在/etc/logrotate.conf配置文件中。
• 直接在/etc/logrotate.d/目录中加入配置文件。

模板&＃xff1a;

/date/logs/nginx/access/access.log /date/logs/nginx/access/default.log{dailyrotate 15sharedscriptspostrotate/bin/kill -HUP $(/bin/cat /var/run/syslog.pid) &>/dev/null#重启rsyslogd服务&＃xff0c;平滑重启/bin/kill -HUP $(/bin/cat /usr/local/nginx/logs/nginx.pid) &>/dev/null#重启Nginx服务endscript
}


ps&＃xff1a;尚硅谷linux视频课程学习笔记