日志管理

一、日志介绍

（1）日志简单介绍：

1、日志：

历史事件: 时间，地点，人物，事件

日志级别：事件的关键性程度，Loglevel 日志等级

2、系统日志服务：

sysklogd :CentOS 5 之前版本

syslogd: system application 记录应用日志

klogd: linux kernel 记录内核日志

3、事件记录格式：

日期时间 主机 进程[pid]: 事件内容

C/S 架构：通过TCP 或UDP 协议的服务完成日志记录传送，将分布在不同主机的日志实现集中管理

 

（2）rsyslog

1、rsyslog 特性：CentOS6 和7，不能用于较大的环境

多线程

UDP, TCP, SSL, TLS, RELP

MySQL, PGSQL, Oracle 实现日志存储

强大的过滤器，可实现过滤记录日志信息中任意部分

自定义输出格式

2、ELK ：elasticsearch, logstash, kibana ，管理日志整套的解决方案

非关系型分布式数据库

基于apache 软件基金会jakarta 项目组的项目lucene

Elasticsearch 是个开源分布式搜索引擎

Logstash 对日志进行收集、分析，并将其存储供以后使用

kibana 的 可以提供的日志分析友好的 Web 界面

3、术语，参见man logger

① 是个服务 rsyslog ，开机自动启动

② facility：设施，从功能或程序上对日志进行归类

auth, authpriv, cron, daemon,ftp,kern, lpr, mail,news, security(auth), user, uucp, local0-local7, syslog

③ Priority 优先级别，从低到高排序

debug, info, notice, warn(warning), err(error),crit(critical), alert, emerg(panic)

参看帮助：man 3 syslog

 

（3）logger -p rules "显示的东西" 测试命令

例：logger -p local1.info 'this is a test log'

 

二、rsyslog 服务的介绍

1、配置文件介绍

程序包：rsyslog

主程序：/usr/sbin/rsyslogd

CentOS 6 ：service rsyslog {start|stop|restart|status}

CentOS 7 ：/usr/lib/systemd/system/rsyslog.service

配置文件：/etc/rsyslog.conf主配置文件，/etc/rsyslog.d/*.conf

库文件： /lib64/rsyslog/*.so

配置文件格式：由三部分组成

MODULES ：相关模块配置

GLOBAL DIRECTIVES ：全局配置

RULES ：日志记录相关的规则配置

 

2、修改配置文件，主要是设置RULES 规则

RULES 配置格式： facility.priority ； facility.priority… target

例：*.info;mail.none;authpriv.none;cron.none /var/log/messages

facility：设施

*: 所有的facility

facility1,facility2,facility3,... ：指定的facility 列表

priority：级别

*: 所有级别

none ：排除，没有级别，即不记录

PRIORITY（只有名字） ：指定级别（含）以上的所有级别

=PRIORITY ：只记录，仅记录指定级别的日志信息

target：目标

① 文件路径：通常在/var/log/

② 文件路径前的- 表示异步写入用户：

异步：先存一批在内存里，批量写入硬盘，效率高

同步：生成日志，就同步到硬盘里，安全

例：mail.* -/var/log/maillog

③ 将日志事件通知给指定的用户，* 表示登录的所有用户

例：*.emerg :omusrmsg:*

④ 日志服务器：@host 或 @@host ，把日志送往至指定的远程服务器记录

⑤ 管道： | COMMAND

⑥ 自定义：local0-7

例子：

例1：自定义ssh服务的日志： local1.* /var/log/sshd.log

需设置sshd的配置文件/etc/ssh/sshd_config

SyslogFacility local1

LogLevel INFO

需重启服务

注意：以，隔开，可以写多个arget目标

 

例2：自定义：local2.* along,root,/var/log/sshd.log

测试命令：logger -p local2.info 'this is a test log'

 

例3：日志以网络的方式发送到192.168.30.111上

① 在192.168.30.222 机器上设置

local3.*@192.168.30.111 (@走的是udp协议)

在192.168.30.111 机器上设置，提供UDP远程连接的功能默认被注释了，取消两行注释

$ModLoad imtcp 开启模块

$InputTCPServerRun 514 使用的端口

加一行

local1.* /var/log/remote.log 日志存在111 的/var/log/remote.log下

测试：

logger -p local3.info "this is a remote log"

 

② 在192.168.30.222 机器上设置

local3.*@@192.168.30.111 (@@走的是tcp协议)

在192.168.30.111 机器上设置，在tcp的注释两行取消

加一行

local1.* /var/log/remote.log 日志存在111 的/var/log/remote.log下

测试：

logger -p local3.info "this is a remote log"

 

3、其它日志

/var/log/secure：su切换，系统安装日志，文本格式，应周期性分析

/var/log/btmp：当前系统上，用户的失败尝试登录相关的日志信息，二进制格式，直接查看的乱码

lastb 命令进行查看，可以查看是否有恶意尝试连接

如果想取消错误登录，不要直接删除btmp文件，>btmp清空就好

/var/log/wtmp：当前系统上，用户正常登录系统的相关日志信息， 二进制格式

last 命令可以查看

/var/log/lastlog: 每一个用户最近一次的登录信息， 二进制格式，

lastlog 命令可以查看

/var/log/dmesg ：系统引导过程中的日志信息，文本格式

文本查看工具查看cat dmesg

专用命令dmesg 查看，查看结果都一样

/var/log/messages ：系统中大部分的信息

/var/log/anaconda : anaconda的安装日志

 

 

三、日志管理journalctl ，centos 7特有命令

（1）介绍

Systemd 有统一管理所有 Unit 的启动日志。带来的好处就是，可以只用journalctl 一个命令，查看所有日志（内核日志和应用日志）。日志的配置文件/etc/systemd/journald.conf

（2）journalctl 用法

查看所有日志（默认情况下，只保存本次启动的日志）

journalctl

查看内核日志（不显示应用日志）

journalctl -k

查看系统本次启动的日志，和不加默认一样

journalctl -b

journalctl -b -0

查看上一次启动的日志（需更改设置）

journalctl -b -1

查看指定时间的日志

journalctl --since="2017-10-30 18:10:30"

journalctl --since "20 min ago"

journalctl --since yesterday

journalctl --since "2017-01-10" --until "2017-01-11 03:00"

journalctl --since 09:00 --until "1 hour ago"

显示尾部的最新10 行日志，不加数字默认是显示10行

journalctl -n

显示尾部指定行数的日志

journalctl -n 20

实时滚动显示最新日志

journalctl -f

查看指定服务的日志

journalctl /usr/lib/systemd/systemd

查看指定进程的日志

journalctl _PID=1

查看某个路径的脚本的日志

journalctl /usr/bin/bash

查看指定用户的日志

journalctl _UID=33 --since today

查看某个 Unit 的日志

journalctl -u nginx.service

journalctl -u nginx.service --since today

例：journalctl -u sshd --since today

实时滚动显示某个 Unit 的最新日志

journalctl -u nginx.service -f

合并显示多个 Unit 的日志

journalctl -u nginx.service -u php-fpm.service --since today

 

（3）查看指定优先级（及其以上级别）的日志，共有8级，默认是分页的

0: emerg

1: alert

2: crit

3: err

4: warning

5: notice

6: info

7: debug

journalctl -p 等级数字或名字 -b

例：journalctl -p 4 -b

日志默认分页输出，--no-pager 改为正常的标准输出，不分页

journalctl --no-pager

 

（4）日志管理journalctl

以 JSON 格式（单行）输出

journalctl -b -u nginx.service -o json

以 JSON 格式（多行）输出，可读性更好

journalctl -b -u nginx.serviceqq -o json-pretty

显示日志占据的硬盘空间

journalctl --disk-usage

指定日志文件占据的最大空间

journalctl --vacuum-size=1G

指定日志文件保存多久

journalctl --vacuum-time=1years

journalctl -xe 服务出错或提示的用法

-x 展开

-e 直接到底部，因为服务刚出错，生成的日志应该在最下边

 

四、Logrotate 日志存储

① logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除，并创建新的日志文件，称为日志转储或滚动。可以根据日志文件的大小，也可以根据其天数来转储，这个过程一般通过 cron 程序来执行

② 配置文件是 /etc/logrotate.conf

③ 主要参数如下

compress 通过gzip 压缩转储以后的日志

nocompress 不需要压缩时，用这个参数

copytruncate 用于还在打开中的日志文件，把当前日志备份并截断

nocopytruncate 备份日志文件但是不截断

create mode owner group 转储文件，使用指定的文件模式创建新的日志文件

nocreate 不建立新的日志文件

delaycompress 和 和 compress 一起使用时，转储的日志文件到下一次转储时才压缩

nodelaycompress 盖 覆盖 delaycompress 选项，转储并压缩

errors address 专储时的错误信息发送到指定的Email 地址

ifempty 即使是空文件也转储，是缺省选项。

notifempty 如果是空文件的话，不转储

mail address 把转储的日志文件发送到指定的E-mail 地址

nomail 转储时不发送日志文件

olddir directory 转储后的日志文件放入指定的目录，必须和当前日志文件在同一个文件系统

noolddir 转储后的日志文件和当前日志文件放在同一个目录下

prerotate/endscript 在转储以前需要执行的命令可以放入这个对，这两个关键字必须单独成行

postrotate/endscript 在转储以后需要执行的命令可以放入这个对，这两个关键字必须单独成行

daily 指定转储周期为每天

weekly 指定转储周期为每周

monthly 指定转储周期为每月

size 小 大小 指定日志超过多大时，就执行日志转储

rotate count 指定日志文件删除之前转储的次数，0 指没有备份，5 指保留5 个备份

Missingok 如果日志不存在，提示错误

Nomissingok 如果日志不存在，继续下一次日志，不提示错误

 

 

五、实验

实验一：rsyslog 将日志记录于MySQL中

原理：让centos 6上的日志记录到centos 7的数据库中

 

1、在centos 7上安装mysql

yum -y install mariadb-server 下包

systemctl start mariadb 开启服务

mysql_secure_installation 安全脚本

 

2、在centos 6上充当mysql 的客户端

① 查看rsyslog 与mysql 相关的服务

yum list rsyslog*

② 让日志能访问mysql 的包

yum -y install rsyslog-mysql.x86_64

包里带了个脚本，规定了数据库的一些设置，如数据库名、表名等

③ 把这个脚本传到 7 上：

scp /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql @192.168.30.222:

 

3、在centos 7上用这个脚本生成数据库

① mysql -uroot -p12345 < createDB.sql 以root的身份执行这个脚本，生成指定的数据库的东西

mysql -uroot -p12345 可以登录查看一下，缺少生成了

② 创建一个在centos6 上能远程连接7 的用户，并授给他对Syslog数据库的所有权限，并设置密码为along

grant all on Syslog.* to loguser@'192.168.30.111' identified by 'along';

 

4、在centos 6 允许rsyslog-mysql 模块使用

vim /etc/rsyslog.conf 加两行

$ModLoad ommysql 允许加载这个模块

*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.30.222,Syslog,loguser,along 把所有日志都放到7 上的数据库

格式： :ommysql:DBHOST,DBNAME,DBUSER, PASSWORD

service rsyslog restart 重启服务

 

5、测试

在centos 6上随便生成日志：

logger "this is a test log"

在centos 7上数据库中查看：

MariaDB [Syslog]> select * from SystemEvents \G;

不过看着不舒服，为了看的舒服，搭建lamp，用php实现图形化界面，利用查看

 

 

实验二：搭建lamp实现日志远程存储

环境：两个机器 一台A：lamp 一台B：日志服务器

（1）在A 上实现lamp

1、安包

安装httpd、php-fpm、php-mysql 包

yum -y install httpd php-fpm php-mysql

 

systemctl start php-fpm 开启php-fpm服务

 

2、在http的配置文件中设置，让其支持fpm

DirectoryIndex index.php index.html

去子配置文件，再设置

vim /etc/httpd/conf.d/fcgi.conf

ProxyRequests Off

ProxyPassMatch ^/(.*\.php)$ fcgi://127.0.0.1:9000/var/www/html/$1

 

systemctl restart httpd 重启http服务

 

3、测试php和http的连接

vim /var/www/html/index.php

<?php

phpinfo();

?>

 

（2）在B 上充当mysql 的客户端，和日志服务器

① 查看rsyslog 与mysql 相关的服务

yum list rsyslog*

② 让日志能访问mysql 的包

yum -y install rsyslog-mysql.x86_64

包里带了个脚本，规定了数据库的一些设置，如数据库名、表名等

③ 把这个脚本传到B 上：

scp /usr/share/doc/rsyslog-7.4.7/mysql-createDB.sql @192.168.30.222:

 

（3）在centos 7创建数据库并授权用户

yum -y install mariadb-server 下包

systemctl start mariadb

mysql_secure_installation 安全脚本

① mysql -uroot -palong < mysql-createDB.sql 以root的身份执行这个脚本，生成指定的数据库的东西

mysql -uroot -palong 可以登录查看一下，确实生成了

② 创建一个在B 上能远程连接A 的用户，并授给他对Syslog数据库的查看权限，并设置密码为along

grant select on Syslog.* to loguser@'192.168.30.107' identified by 'along';

 

（4）在B 允许rsyslog-mysql 模块使用

vim /etc/rsyslog.conf 加两行

$ModLoad ommysql 允许加载这个模块

*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.30.222,Syslog,loguser,along 把所有日志都放到7 上的数据库

格式： :ommysql:DBHOST,DBNAME,DBUSER, PASSWORD

service rsyslog restart 重启服务

 

（5）布署loganalyzer

① 官网下载，rz、解压

tar xvf loganalyzer-4.1.5.tar.gz

yum -y install php-gd 装php的图形包

 

② cd loganalyzer-4.1.5/

mv src/* /var/www/html/ 因为php的源代码都在src里，只把这个目录下所有东西拷过去就行

cd /var/www/html/

touch config.php

chmod 666 config.php

 

③ 网页打开

一直next操作，填写自己刚创建的数据库、表和用户的信息

完成