Linux系统日志与日常管理

转自https://www.cnblogs.com/fengguozhong/p/16543221.html，基于该博客进行补充

目录

• Linux系统日志rsyslog介绍
  • • rsyslog服务及配置文件的查看
    • rsyslog的配置文件
      • 日志类型：
      • 日志优先级
      • 日志优先级及类型在配置上的体现
• 日志清理

Linux系统日志rsyslog介绍

Linux7 系统的日志是由一个叫做 rsyslog 的服务来管理的, 系统日志默认的守护进程为 rsyslog , rsyslog 是 syslog 的一个升级版本。

rsyslog服务及配置文件的查看

• 可以通过systemctl 查看该服务的状态

systemctl status rsyslog.service

• 通过 rpm 命令查询版本及配置文件

rpm -qa |egrep rsyslog   //检查是否安装rsyslog

rpm -ql rsyslog |more  //查找主配置文件

rsyslog的配置文件

Linux 系统内核和许多程序服务会产生各种错误信息、告警信息，这些信息都记录到日志文件中，完成这个过程的程序就是 rsyslog，rsyslog 可以根据日志的类别和优先级将日志保存到不同的文件中。

日志类型：

类型	说明
auth	用户认证时产生的日志，如login命令、su命令。
authpriv	与 auth 类似，但是只能被特定用户查看。
console	针对系统控制台的消息。
cron	系统定期执行计划任务时产生的日志。
daemon	某些守护进程产生的日志。
ftp	FTP服务。
kern	系统内核消息。
local0.local7	由自定义程序使用。
lpr	与打印机活动有关。
mail	邮件日志。
mark	产生时间戳。系统每隔一段时间向日志文件中输出当前时间，每行的格式类似于 May 26 11:17:09 rs2 -- MARK --，可以由此推断系统发生故障的大概时间。
news	网络新闻传输协议(nntp)产生的消息。
ntp	网络时间协议(ntp)产生的消息。
user	用户进程。
uucp	UUCP子系统。

日志优先级

日志优先级：

优先级	说明
emerg	紧急情况，系统不可用（例如系统崩溃），一般会通知所有用户。
alert	需要立即修复，例如系统数据库损坏。
crit	危险情况，例如硬盘错误，可能会阻碍程序的部分功能。
err	一般错误消息。
warning	警告。
notice	不是错误，但是可能需要处理。
info	通用性消息，一般用来提供有用信息。
debug	调试程序产生的信息。
none	没有优先级，不记录任何日志消息。

常见日志文件：系统日志一般存储于 /var/log 目录下

文件/目录	说明
/var/log/message	该日志文件是许多进程日志文件的汇总，记录Linux操作系统常见的系统和服务错误信息，从该文件可以看出任何入侵企图或成功的入侵。
/var/log/boot.log	开启或重启日志。记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息。
/var/log/lastlog	记录最后一次用户成功登录的时间、登录IP等信息（二进制日志文件，一般通过命令 lastlog 查看）。
/var/log/secure	Linux系统安全日志，记录用户和工作组变化情况、用户登录认证情况。
/var/log/btmp	记录Linux登录失败的用户、时间以及远程IP地址。
/var/log/wtmp	该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，二进制日志文件，使用last命令查看。

日志优先级及类型在配置上的体现

日志清理

为避免log日志过大，一般可以通过轮转来清理
logrotate是我们Linux自带的日志管理程序，可以对我们的日志来进行切割、打包，压缩等处理。