Linux-日志管理

1.日志服务

传统的rsyslog和新添加的systemed-journal

2.关于rsyslog

rsyslog常见的日志文件如下：

🌞/var/log/messages：

    记录Linux内核消息及各种应用程序的公共日志信息，包括启动、I/O错误、网络错误、程序故障等。

    对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

🌞/var/log/cron：记录crond计划任务产生的事件信息。

🌞/var/log/maillog：记录进入或发出系统的电子邮件活动。

🌞/var/log/secure：记录所有与安全相关以及用户登录认证过程中的事件信息。

🌞/var/log/boot.log系统启动的相关日志

rsyslog配置文件：/etc/rsyslog.conf

"优先级"

0 EMERG（紧急）：会导致主机系统不可用的情况。（内核崩溃）

1 alert（警告）：必须马上采取措施解决的问题。

2 CRIT（严重）：比较严重的情况。

3 ERR（错误）：运行出现错误。

4 WARNING（提醒）：可能影响系统功能，需要提醒用户的重要事件。

5 NOTICE（注意）：不会影响正常功能，但是需要注意的事件。

6 INFO（信息）：一般信息。

7 DEBUG（调试）：程序或系统调试信息等。

数字越小，优先级越高，消息越重要

手工发送日志logger

🌞logger   -p   authpriv.info -t   "test " "err"

-p, --priority  指定输入消息的优先级authpriv.info

-t   指定描述信息

表示将test ：err添加到/var/log/secure文件中

🌞tail -2 /var/log/secure   只看secure日志文件的后两行

3.关于systemed-journal

日志文件

是systemed自带的日志服务工具，所有日志记录在/run/log中

日志审查

journalctl [OPTIONS...] [MATCHES...]

journalctl    查看所有日志

journalctl   -n   5  查看最后5条日志

journalctl   -since   today  查看今天的日志

journalctl --since="2012-10-30 18:17:16"      指定具体的起始时间

journalctl --since "20 min ago"   从某个时间以前的

journalctl -f   显示最新信息

journalctl --vacuum-size=100M  清理日志使总大小小于 100M

journalctl --vacuum-time=2weeks    清理最早两周前的日志

日志持久化

默认只会保存一个月的日志

[root@shuge ~]# mkdir /var/log/journal

[root@shuge ~]# chown root:systemd-journal  /var/log/journal

[root@shuge ~]# chmod 2775 /var/log/journal/