rsyslog 与 logrotate 服务
rsyslog与logrotate服务
rsyslog 负责写入日志, logrotate负责备份和删除旧日志, 以及更新日志文件。
一、rsyslog
rsyslog 是一个 syslogd 的多线程增强版,现在Fedora和Ubuntu, Centos默认的日志系统都是rsyslog了。
一种常见又简单的 syslogd 使用方法如图:
1、用户进程将产生的日志消息发送至UNIX域数据报套接字 /dev/log;
2、syslogd 守护进程启动时会读取配置文件 /etc/syslog.conf,该配置文件决定不同种类的消息应送往何处。
如下图rsyslog的架构图,它的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。
在这个流程图中,输入、输出、过滤三个部分称为module:
input模块(消息来源)有imklg、imsock、imfile;
pre-processor模块()主要解决各种syslog协议实现间的差异,举例说明如果日志系统client端使用rsyslog、server端使用syslog-ng,如果自己不做特殊处理syslog-ng是无法识别的。但是反过来,rsyslog的server端就可以识别syslog-ng发过来的消息。
queue模块负责消息的存储,从Input传入的未经过滤的消息放在主队列中,过滤后的消息放入到不同action queue中,再由action queue送到各个输出模块。
filetr模块处理消息的分析和过滤,rsyslog可以根据消息的任何部分进行过滤;
output模块(消息目的地)有omudp、omtcp、omfile、omprog、ommysql、omruleset;
配置rsyslog 的命令行参数:
在 rsyslog 的配置文件 /etc/rsyslog.conf,增加下面两行:
local3.* /var/log/haproxy.log
local0.* /var/log/haproxy.log
然后执行下面的命令进行测试:
logger -p local3.info 'hello world'
可以看到 /var/log/haproxy.log 增加了改行信息。
/etc/rsyslog.conf 每行配置项的含义:
日志设备 连接符号 日志级别 日志处理方式
日志设备:
———————————————————————-
auth –pam产生的日志
authpriv –ssh,ftp等登录信息的验证信息
cron –时间任务相关
kern –内核
lpr –打印
mail –邮件
mark(syslog) –rsyslog服务内部的信息,时间标识
news –新闻组
user –用户程序产生的相关信息
uucp –unix
to unix copy, unix主机之间相关的通讯
local 1~7 –自定义的日志设备
连接符号:
———————————————————————-
.xxx: 表示大于等于xxx级别的信息
.=xxx:表示等于xxx级别的信息
.!xxx:表示在xxx之外的等级的信息
日志级别:
———————————————————————-
debug –有调式信息的,日志信息最多
info –一般信息的日志,最常用
notice –最具有重要性的普通条件的信息
warning –警告级别
err –错误级别,阻止某个功能或者模块不能正常工作的信息
crit –严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert –需要立刻修改的信息
emerg –内核崩溃等严重信息
none –什么都不记录
从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册:
man 3 syslog
注意:日志记录的顺序有先后关系
例子:
———————————————————————-
1. 记录到普通文件或设备文件::
*.*
/var/log/file.log # 绝对路径
*.* /dev/pts/0
测试: logger -p local3.info
‘KadeFor is testing the rsyslog and logger ‘ logger 命令用于产生日志
2. 转发到远程::
*.* @192.168.0.1
# 使用UDP协议转发到192.168.0.1的514(默认)端口
*.* @@192.168.0.1:10514
# 使用TCP协议转发到192.168.0.1的10514(默认)端口
3. 发送给用户(需要在线才能收到)::
*.* root
*.* root,kadefor,up01
# 使用,号分隔多个用户
*.* * # *号表示所有在线用户
4. 忽略,丢弃::
local3.* ~ # 忽略所有local3类型的所有级别的日志
5. 执行脚本::
local3.* ^/tmp/a.sh
# ^号后跟可执行脚本或程序的绝对路径
# 日志内容可以作为脚本的第一个参数.
# 可用来触发报警
二、logrotate
logrotate是一个日志管理程序,用来把旧的日志文件删除(备份),并创建新的日志文件,这个过程称为“转储”。
我们可以根据日志的大小,或者根据其使用的天数来转储。
logrotate的执行由crond服务实现,参考 /etc/cron.daily/logrotate 脚本,该脚本每天由cron在指定的时间(/etc/crontab)启动。
在执行logrotate时,需要指定其配置文件/etc/logrotate.conf
这个配置文件的注释写得很清楚,没有必要再罗嗦了。只想强调下面这行,它的作用包含存放在/etc/logrotate.d目录下面的配置文件,不可或缺。如果你安装了一个新的服务,它的日志转储的规则可以建立一个专门的配置文件,放在/etc/logrotate.d下面。它其实也因为下面的这句话,在logrotate服务启动时被读取。
每个存放在/etc/logrotate.d目录里的文件,都有上面格式的配置信息。在{}中定义的规则,如果与logrotate.conf中的冲突,以/etc/logrotatate.d/中的文件定义的为准。
logrotate启动脚本放在 /etc/cron.daily/logrotate 中,可人工执行命令进行测试:
/usr/sbin/logrotate -f /etc/logrotate.conf
dateext表示转储文件会以日期来结束*
参考文档:
http://www.cnblogs.com/tobeseeker/archive/2013/03/10/2953250.html