作者:9位特权QQ号码连号 | 来源:互联网 | 2023-06-12 15:48
日志管理简介确定服务启动psaux|greprsyslogd#查看服务是否启动systemctllist-unit-files|greprsyslog#查看服务是否自启动常见日志日
日志管理简介
确定服务启动
- ps aux | grep rsyslogd # 查看服务是否启动
- systemctl list-unit-files | grep rsyslog # 查看服务是否自启动
常见日志
日志文件 |
说明 |
|---|
/var/log/cron |
记录了系统定时任务相关的日志 |
/var/log/cups/ |
记录打印信息的日志 |
/var/log/dmsg |
记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息 |
/var/log/btmp |
记录错误登录的日志。这个文件是二进制文件,要使用lastb命令查看 |
/var/log/lastlog |
记录系统中所有用户最后一次登录时间的日志。这个文件也是二进制文件,使用lastlog命令查看 |
/var/log/mailog |
记录邮件信息 |
/var/log/messages |
记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数中重要信息 |
/var/log/secure |
记录验证和授权登录的信息,只要涉及账户和密码的程序都会记录 |
/var/log/wtmp |
永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。这个文件也是二进制文件,使用last命令查看 |
/var/run/utmp |
记录当前已经登录的用户的信息。这个信息会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。使用w,who,users等命令来查询 |
其他日志
- 除了系统默认的日志以外,采用RPM方式安装的系统目录也会默认把日志记录在/var/log/目录中(源码包安装的服务日志是在源码包指定目录中)。不过这些日志不是由rsyslogd服务来记录和管理的,而是各个服务使用自己的日志管理文档来记录自身日志
rsyslogd服务
日志文件格式
- 基本日志格式包含以下四列:
- 事件产生的时间
- 发生事件的服务器的主机名
- 产生事件的服务名或程序名
- 事件的具体信息
/etc/rsyslog.conf配置文件
服务名称
服务名称 |
说明 |
|---|
auth |
安全和认证相关信息(不推荐使用authpriv替代) |
authpriv |
安全和认证相关信息(私有的) |
cron |
系统定时任务cront和at产生的日志 |
daemon |
和各个守护进程相关的日志 |
ftp |
ftp守护进程产生的日志 |
kern |
内核产生的日志(不是用户进程产生的) |
local0 - local7 |
为本地使用预留的服务 |
lpr |
打印产生的日志 |
mail |
邮件收发信息 |
news |
与新闻服务器相关的日志 |
syslog |
有syslogd服务产生的日志信息 |
user |
用户等级类别的日志信息 |
uucp |
uucp子系统的日志信息,uucp是早期linux系统进行数据传递的协议 |
连接符号
符号 |
说明 |
|---|
* |
代表所有日志等级 |
. |
代表只要比后面的等级高的(包含该等级)日志都记录下来 |
.= |
代表只记录所需等级的日志,其他等级的都不记录 |
.! |
代表不等于,也就是除了该等级的日志以外,其他等级的日志都记录 |
日志等级
等级名称 |
说明 |
|---|
debug |
一般的调试信息说明 |
info |
基本的通知信息 |
notice |
普通信息,但是有一定的重要性 |
warning |
警告信息,但是还不会影响到服务或系统的运行 |
err |
错误信息,一般达到err等级的信息以及可以影响到服务或系统的运行 |
crit |
临界状况信息,比err等级还要严重 |
alert |
警告状态信息,比crit还要严重,必须立即采取行动 |
emerg |
疼痛等级信息,系统已经无法使用了 |
日志记录位置
- 日志文件的绝对路就那个,如/var/log/secure
- 系统设备文件,如/dev/lp0
- 转发给远程主机,如@192.168.0.210:514
- 用户名,如root
- 忽略或丢弃日志,如“~”
日志轮替
日志文件的命名规则
- 如果配置文件拥有“dateext"参数,那么日志会用日期来作为日志文件的后缀,例如”secure-20130605“。这样的话日志文件名不会重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可
/etc/logrotate.conf配置文件
参数 |
参数说明 |
|---|
daily |
日志的轮替周期是每天 |
weekly |
轮替周期是每周 |
monthly |
轮替周期是每周 |
rotate 数字 |
保留的日志文件的个数,0指没有备份 |
compress |
日志轮替时,旧的日志进行压缩 |
create mode owner group |
建立新日志,同时指定新日志的权限与所有者和所属组 |
logrotate命令logrotate [选项] 配置文件名
- 如果此命令没有选项,则会按照配置文件中的条件进行日志轮替
- -v:显示日志轮替过程。加了-v选项,会显示日志的轮替过程
- -f:强制进行日志轮替。不管日志轮替的条件是否已经符合,强制配置文件中所有的日志进行轮替
Felix_hyfy
发布了70 篇原创文章 · 获赞 7 · 访问量 4559
私信
关注
京公网安备 11010802041100号