Linux 日志管理
一,Linux日志管理简介
1,日志服务
rsyslogd的新特点:
1,基于TCP网络协议传输日志信息
2,更安全的网络传输方式
3,有日志消息的及时分析框架
4,后台数据库
5,配置文件中可以写简单的逻辑判断
6,与syslog配置文件相兼容
确定服务启动
ps -aux | grep rsyslogd
查看服务是否自启动
chkconfig --list | grep rsyslog
在centos7中使用
systemctl list-unit-files | grep rsyslog
2,常见日志的作用
除了系统默认的日志外,采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录中
(源码包安装的服务日志是在源码包指定的目录中),不过这些日志不是由rsyslogd服务来记录和管理的,而是各个服务使用自己的日志管理文档来几率自身日志
二,rsyslogd日志服务
1,日志文件格式
基本日志格式包含以下四列:
1,事件产生的时间
2,发生事件的服务器的主机名
3,发生事件的服务名或进程名
4,事件的具体信息
2,/etc/rsyslog.conf 配置文件
日志记录位置:
1,日志文件的绝对路径,如/var/log/secure
2,系统设备文件,如/dev/lp0
3,转发给远程主机,如"@192.168.0.210:514" (日志服务器)
4,用户名,如"root"
5,忽略或丢弃日志,如"~"
三,日志轮替
1,日志文件的命名规则
1,如果配置文件中拥有"dateext"参数,那么日志会用日期来作为日志文件的后缀,例如"secure-20130605",这样的话日志文件不会重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可
2,如果配置文件中没有"dateext"参数,那么日志文件就需要进行改名了,当第一次进行日志轮替的时候,当前的"secure"日志会自动改名为"secure.1",然后新建secure日志,用来保存新的日志,当第二次进行日志轮替的时候,secure.1会自动改名为secure.2,当前的secure日志会自动改名为secure.1,然后也会新建secure日志,用来保存新的日志,以此类推,保证日志不会覆盖
2,logrotate 配置文件
3,把apache日志加入轮替
vi /etc/logrotate.conf
/usr/local/apache2/logs/access+log{
daily
create
rotate 30
}
4,logrotate命令
logrotate 【选项】配置文件名
选项:
如果此命令没有选项,则会按照配置文件中的条件进行日志轮替
-v 显示日志轮替过程,加了-v选项,会显示日志的轮替过程
-f 强制进行日志轮替,不管日志轮替的条件是否已经符合,强制配置文件中所有的日志进行轮替