Linux日志服务管理总结

1|0日志的基本了解

1|1日志介绍

1. 日志文件是重要的系统信息文件，其中记录了许多重要的系统事件，包括用户的登录信息，系统的启动信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。

2. 日志对于安全说来也很重要，他记录了系统每天发生的各种事情，通过日志来检查错误发生的原因或者受到攻击者留下的痕迹。

3. 可以理解日志是用来记录重大事件的工具。

1|2系统常用的日志

1. /var/log 目录就是系统日志文件的保存位置。

2. 系统常用的日志文件
   

注意： 想要查看lasllog日志文件直接输入查看文件名称即可 使用cat等语句会出现乱码。

2|0日志管理服务

2|1rsyslog 服务

CentOS7.X 日志服务是rsyslogd， CentOS6.X 日志服务是syslogd 。 rsyslogd功能更强大 rsylogd的使用、日志文件的格式、和syslogd 服务兼容的。

1. 查询Linux 中的 rsyslogd 服务是否启动

    ps aux | grep “rsyslog” | grep -v "grep" 
    参数（-v）改变匹配的意义，可以理解为反向查询
   

2. 查询rsyslogd 服务的自启动状态

    systemctl list-unit-files | grep rsyslog
   

2|2日志配置文件：/etc/rsyslog.conf

编辑文件时的格式为：*.* 存放日志文件
其中的一个*代表日志类型，第二页*代表日志级别

1. 日志类型分为：

    auth        --##pam产生的日志
    authpriv    --##ssh、ftp等登录信息的验证信息
    corn        --##时间任务相关
    kern        --##内核
    lpr         --##打印
    mail        --##邮件
    mark(syslog)-rsyslog    --##服务内部的信息，时间标识
    news        --##新闻组
    user        --##用户程序产生的相关信息
    uucp        --##unix to nuix copy主机之间相关的通信
    local 1-7   --##自定义的日志设备
   

2. 日志级别分为：

    debug       --##有调试信息的，日志通信最多
    info        --##一般信息日志，最常用
    notice      --##最具有重要性的普通条件的信息
    warning     --##警告级别
    err         --##错误级别，阻止某个功能或模块不能正常工作的信息
    crit        --##严重级别，阻止整个系统或整个软件不能正常工作的信息
    alert       --##需要立即修改的xx
    emerg       --##内核崩溃等重要信息
    none        --##什么都不记录
   

注意： 从上到下，级别越低越高，记录信息越来越少

3. 日志文件的格式：

    事件产生的时间
   
    产生时间的服务器的主机名
   
    事件的具体信息
   

3|0日志轮替

3|1基本介绍

日志论题就是把旧的日志文件移动并改名，同时建立新的空日志文件，当就日志文件超出保存的范围之后就会进行删除

3|2日志轮替文件命名

1. centos7使用logrotate进行日志轮替管理，想要改变日志轮替文件名字，通过/etc/logrotate.conf 配置文件中 "dateext" 参数：

2. 如果配置文件中有 “dateext” 参数，那么日志会用日期来作为日志文件的后缀，这样日志文件名不会重叠，删除多余的日志文件即可。

3. 如果配置文件中没有“dateext” 参数，日志文件就需要进行改名了。

3|3logrotate配置文件

参数说明

    daily	日志的轮替周期是毎天
    weekly	日志的轮替周期是每周
    monthly	日志的轮控周期是每月
    rotate数宇	保留的日志文件的个数。0指没有备份
    compress	当进行日志轮替时，对旧的日志进行压缩
    create mode owner group	建立新日志，同时指定新日志的权限与所有者和所属组.如create 0600 root utmp
    mail address	当进行日志轮替时.输出内存通过邮件发送到指定的邮件地址
    missingok	如果日志不存在，则忽略该日志的警告信息
    nolifempty	如果曰志为空文件，則不进行日志轮替
    minsize 大小	日志轮替的最小值。也就是日志一定要达到这个最小值才会进行轮持，否则就算时间达到也不进行轮替
    size大小	日志只有大于指定大小才进行日志轮替，而不是按照时间轮替，如size 100k
    dateext	使用日期作为日志轮替文件的后缀，如secure-20130605
    sharedscripts	在此关键宇之后的脚本只执行一次
    prerotate/cndscript	在曰志轮替之前执行脚本命令。endscript标识prerotate脚本结束
    postrolaie/endscripl	在日志轮替之后执行脚本命令。endscripi标识postrotate脚本结束

3|4查看内存日志

1|0journalctl

常用指令

journalctl      --##查看全部
journalctl -n 3 --##查看最新3条
journalctl --since 19:00 --until 19:10:10 --##查看起始时间到结束时间的日志可假日期
journalctl -p err --##错误日志
journalctl -o vervose ##日志详细内容
journalctl _PID=1234 _COMM=sshd  --##查看包含这些参数的日志

注意： journalctl 查看的是内存日志，重启清空。

__EOF__

本文作者：老苏
本文链接：https://www.cnblogs.com/WuCoke/p/15890494.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！