第十四讲 日志管理

第十四讲 日志管理

 一、简介

　　1.1 日志管理简介

　　　　1.1.1 日志服务

　　　　　　在CenetOS 6.x中日志服务已经由rsyslogd取代了原先的syslogd服务。fsyslogd日志服务更加先进，功能更多。但是不论

　　　　　　该服务的使用，还是日志文件的格式其实都是和syslogd服务相兼容的，所以学习起来基本和syslogd服务一致。

　　　　1.1.2 rsyslogd的新特点

　　　　　　a）基于TCP网络协议传输日志信息

　　　　　　b）更安全的网络传输方式

　　　　　　c）有日志消息的及时分析框架

　　　　　　d）后台数据库

　　　　　　e）配置文件中可以写简单的逻辑判断

　　　　　　f）与syslogd配置文件相兼容

　　　　1.2.3 确定服务启动

　　　　　　ps aux | grep rsyslogd #查看服务是否自启动

　　　　　　systemctl list-unit-files | grep rsyslog #查看服务是否自启动

　　　　1.2.4 常见日志的作用

日志文件	说明
/var/log/cron	记录了系统定时任务相关的日志
/var/log/cups/	记录了打印信息的日志
/var/log/dmesg	记录了系统再开机时内核的自检信息
/var/log/btmp	记录了错误登录日志。二进制文件，不能vi查看 需要使用lastb命令查看
/var/log/lastlog	记录系统中所有用户最后一次登录时间，二进制文件 不能直接vi查看，需要使用lastlog命令查看
/var/log/mailog	记录邮件信息
/var/log/messages	记录系统重要信息的日志，这个日志文件会记录Linux 绝大多数的重要信息
/var/log/secure	记录验证和授权方面的信息，只要涉及账户和密码的 程序都会记录，比如系统的登录。ssh的登录，su切换 用户，sudo授权，甚至添加和修改用户密码都会记录
/var/log/wtmp	永久记录用户的登录、注销信息。同时，也会记录启动 重启，关机事件。二进制文件，需要last命令查看
/var/run/utmp	记录当前已经登录的用户信息，会随着用户的登录和注销 而变化，只记录当前登录用户的信息，不能直接查看，需要 使用w,who,users等命令查询

　　　　除了系统默认的日志之外，采用RPM方式安装的系统服务也会默认把日志记录在/var/log目录中（源码包安装）

　　　　的服务日志在源码包指定的目录中。不过这些日志不是由rsyslogd服务来记录和管理的，而是各个服务使用自己

　　　　的日志管理文档来记录自身日志。　

二、 rsyslogd日志服务

　　2.1 日志文件格式

　　　　a）事件产生的日志

　　　　b）发生事件的服务器的主机名

　　　　c）发生事件的服务名或程序名

　　　　d）事件的具体信息

　　2.2 /etc/rsyslog.conf 配置文件

　　　　authpriv.*　　/var/log/secure

　　　　#服务名称[连接符号] 日志等级　　日志记录位置

　　　　#认证相关服务.所有日志等级　　记录在

　　　　  /var/log/secure日志中

　　　　2.2.1 服务名称

服务名称	说明
auth	安全和认证相关消息（不推荐使用authpriv替代）
authpriv	安全和认证相关消息（私有的）
cron	系统定时任务cront和at产生的日志
daemon	和各个守护进程相关的日志
ftp	ftp守护进程产生的日志
kern	内核产生的日志（不是用户进程产生的）
local0-local7	为本地使用预留的服务
lpr	打印产生的日志
mail	邮件收发信息
news	与新闻服务器相关的日志
syslog	有syslog服务产生的日志信息
user	用户等级类别的日志信息
uucp	uucp子系统的日志信息，uucp是早期linux系统进行 数据传递的协议，后来也常用在新闻组服务中。

　　　　2.2.2 连接符号

　　　　　　连接符号可以识别为：

　　　　　　　　a）"*" 代表所有日志等级。比如："authpriv.*"代表authpriv认证信息服务产生的日志，所有日志等级都记录

　　　　　　　　b）"." 代表只要比后面的等级高的（包含该等级）日志都记录下来。比如："corn.info"代表cron服务产生的

　　　　　　　　　　日志，只要日志等级大于等于info级别，就记录

　　　　　　　　c）".=" 代表值记录所需等级的日志，其他等级都不记录。比如：".=emerg" 代表人和日志服务产生的，只要

　　　　　　　　　　等级是"emerg"等级就记录，这种用法很少见。了解即可。

　　　　　　　　d）".!" 代表不等于，也就是除了该等级的日志外，其他等级的日志都记录。

　　　　2.2.3 日志等级

等级名称	说明
debug	一般调试信息说明
info	基本的通知信息
notice	普通信息，但是有一定的重要性
warning	警告信息，但是还不影响到服务或系统的运行
err	错误信息，一般打到err等级的信息已经可以影响到运行了
crit	临界状况信息，比err等级还要严重
alert	警告状态信息，比crit还要严重，必须立即采取行动
emerg	疼痛等级信息，系统已经无法使用了

　　　　2.2.4 日志记录位置

　　　　　　日志文件的绝对路径，如："/var/log/secure"

　　　　　　系统设备文件，如："/dev/lp0"

　　　　　　转发给远程主机，如："@192.168.0.210:514"

　　　　　　用户名，如："root"

　　　　　　忽略或丢弃日志，如："~"

三、日志轮替

　　3.1 日志文件的命名规则

　　　　a）如果配置文件中拥有"dateext"参数，那么日志会用日期来作为文件的后缀，例如"secure-20220605"。这样的话文件名不会重叠，

　　　　　  所以也就不需要日志文件的改名，只需要保存指定的日志个数，删除多余的日志文件即可。

　　　　b）如果配置文件中没有"dateext"参数，那么日志文件就需要进行改名了。当第一次进行日志轮替时，当前的"secure"日志会自动

　　　　　 更名为"secure.1"然后新建"secure"日志，用来保存新的日志。当第二次进行日志轮替时，"secure.1"会自动更名为"secure.2"，当

　　　　　前的"secure"会自动更名为"secure.1"，然后也会新建"secure"日志，用来保存新的日志，以此类推。

　　3.2 logrotate 配置文件　　　　

参数	参数说明
daily	日志轮替的周期是每天
weekly	日志轮替的周期是每周
monthly	日志轮替的周期是每月
rotate 数字	保留日志文件的个数，0指没有备份
compress	日志轮替时，旧的日志进行压缩
create mode  owner group	建立新日志，同时指定新日志的权限和所有者和所属组
mail address	当日志轮替时，输出内容通过邮件发送到指定的文件地址
missingok	如果日志不存在，则忽略该日志的警告信息
notifempty	如果日志为空文件，则不进行日志轮替
minsize 大小	日志轮替的最小值。也就是日志一定打达到这个最小值 才轮替，否则就算时间达到也不轮替
size 大小	日志只有大于指定大小才进行日志轮替，而不是 按照时间轮替。如size 100k
dateext	使用日期作为日志轮替文件的后缀。如secure-20220605

　　　　例子：将apache日志加入轮替

　　　　　　vi /etc/logrotate.conf

　　　　　　/usr/local/apache2/logs/access_log{

　　　　　　　　daily

　　　　　　　　create

　　　　　　　　rotate 30

　　　　　　}　　

　　　　　　#表示每天建立新日志，日志文件保存30个

　　　　　　只有源码包安装的服务，才需要手动加入轮替

　　3.3 logrotate 命令

　　　　命令格式：logrotate [选项] 配置文件名

　　　　　　选项：

　　　　　　　　如果此命令没有选项，则会按照配置文件中的条件进行轮替

　　　　　　　　-v　　显示日志轮替过程。

　　　　　　　　-f　　强制进行日志轮替。不管日志轮替的条件是否符合，强制配置文件中的所有日志进行轮替