Linux系统日志与日常管理
转自https://www.cnblogs.com/fengguozhong/p/16543221.html,基于该博客进行补充
Linux系统日志rsyslog介绍
Linux7 系统的日志是由一个叫做 rsyslog 的服务来管理的, 系统日志默认的守护进程为 rsyslog , rsyslog 是 syslog 的一个升级版本。
rsyslog服务及配置文件的查看
- 可以通过systemctl 查看该服务的状态
systemctl status rsyslog.service
- 通过 rpm 命令查询版本及配置文件
rpm -qa |egrep rsyslog //检查是否安装rsyslog
rpm -ql rsyslog |more //查找主配置文件
rsyslog的配置文件
Linux 系统内核和许多程序服务会产生各种错误信息、告警信息,这些信息都记录到日志文件中,完成这个过程的程序就是 rsyslog,rsyslog 可以根据日志的类别和优先级将日志保存到不同的文件中。
日志类型:
| 类型 | 说明 |
|---|---|
| auth | 用户认证时产生的日志,如login命令、su命令。 |
| authpriv | 与 auth 类似,但是只能被特定用户查看。 |
| console | 针对系统控制台的消息。 |
| cron | 系统定期执行计划任务时产生的日志。 |
| daemon | 某些守护进程产生的日志。 |
| ftp | FTP服务。 |
| kern | 系统内核消息。 |
| local0.local7 | 由自定义程序使用。 |
| lpr | 与打印机活动有关。 |
| 邮件日志。 | |
| mark | 产生时间戳。系统每隔一段时间向日志文件中输出当前时间,每行的格式类似于 May 26 11:17:09 rs2 -- MARK --,可以由此推断系统发生故障的大概时间。 |
| news | 网络新闻传输协议(nntp)产生的消息。 |
| ntp | 网络时间协议(ntp)产生的消息。 |
| user | 用户进程。 |
| uucp | UUCP子系统。 |
日志优先级
日志优先级:
| 优先级 | 说明 |
|---|---|
| emerg | 紧急情况,系统不可用(例如系统崩溃),一般会通知所有用户。 |
| alert | 需要立即修复,例如系统数据库损坏。 |
| crit | 危险情况,例如硬盘错误,可能会阻碍程序的部分功能。 |
| err | 一般错误消息。 |
| warning | 警告。 |
| notice | 不是错误,但是可能需要处理。 |
| info | 通用性消息,一般用来提供有用信息。 |
| debug | 调试程序产生的信息。 |
| none | 没有优先级,不记录任何日志消息。 |
常见日志文件:系统日志一般存储于 /var/log 目录下
| 文件/目录 | 说明 |
|---|---|
| /var/log/message | 该日志文件是许多进程日志文件的汇总,记录Linux操作系统常见的系统和服务错误信息,从该文件可以看出任何入侵企图或成功的入侵。 |
| /var/log/boot.log | 开启或重启日志。记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息。 |
| /var/log/lastlog | 记录最后一次用户成功登录的时间、登录IP等信息(二进制日志文件,一般通过命令 lastlog 查看)。 |
| /var/log/secure | Linux系统安全日志,记录用户和工作组变化情况、用户登录认证情况。 |
| /var/log/btmp | 记录Linux登录失败的用户、时间以及远程IP地址。 |
| /var/log/wtmp | 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,二进制日志文件,使用last命令查看。 |
日志优先级及类型在配置上的体现
日志清理
为避免log日志过大,一般可以通过轮转来清理
logrotate是我们Linux自带的日志管理程序,可以对我们的日志来进行切割、打包,压缩等处理。
浙公网安备 33010602011771号