Linux学习笔记(21) Linux日志管理
1. 简介
(1) 日志服务
在CentOS 6.x中日志服务已经由rsyslogd取代了原先的syslogd服务。rsyslogd日志服务更加先进,功能更多。但是不论该服务的使用,还是日志文件的格式其实都是和syslogd服务相兼容的,所以学习起来基本和syslogd服务一致。
rsyslogd的新特点:
基于TCP网络协议传输日志信息;更安全的网络传输方式;有日志消息的及时分析框架;后台数据库;配置文件中可以写简单的逻辑判断;与syslogd配置文件相兼容。
1)确定服务启动
ps aux | grep rsyslogd #查看服务是否启动
chkconfig –list | grep rsyslog #查看是否自启动
2)常见日志的作用
日志文件 |
说明 |
/var/log/cron |
记录了系统定时任务相关的日志 |
/var/log/cups/ |
记录打印信息的日志 |
/var/log/dmesg |
记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
/var/log/btmp |
记录错误登录的日志。该文件是二进制文件,不能直接vi查看,而要使用lastb命令查看 |
/var/log/lastlog |
记录系统中所有用户最后一次登录时间的日志,该文件也是二进制文件,不能直接vi,而要使用lastlog命令查看 |
/var/log/mailog |
记录邮件信息 |
/var/log/message |
记录系统重要信息的日志。这个日志中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 |
/var/log/secure |
记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。如系统的登录,ssh的登录,su切换用户,sudo授权,甚至添加用户修改用户密码都会记录在这个日志文件中 |
/var/log/wtmp |
永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,需使用last命令来查看 |
/var/prun/utmp |
记录当前已经登录的用户信息。这个文件会随着用户的登录和注销而不断变化,只记录当前用户的信息,同样这个文件不能之间vi,需使用w、who、users等命令来查询 |
除了系统默认的日志之外,采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录中(源码包安装的服务日志是在源码包指定目录中),不过这些日志不是由rsyslogd服务来记录和管理的,而是由各个服务使用自己的日志管理文档来记录自身日志。常见的日志有:
日志文件 |
说明 |
/var/log/httpd |
RPM包安装的apache服务的默认日志目录 |
/var/log/mail |
RPM包安装的邮件服务的额外日志目录 |
/var/log/samba/ |
RPM包安装的samba服务的日志目录 |
/var/log/sssd/ |
守护进程安全服务目录 |
2. rsyslogd日志服务
(1) 日志文件格式
基本日志格式包含四列:事件产生的时间;发生事件的服务器的主机名;发生事件的服务名或程序名;事件的具体信息。
(2) /etc/rsyslog.conf配置文件
authpriv.* /var/log/secure
#服务名称[连接符号]日志等级 日志记录位置
#认证相关服务.所有日志等级 记录在/var/log/secure日志中
服务名称 |
说明 |
auth |
安全和认证相关消息(不推荐使用authpriv替代) |
authpriv |
安全和认证相关消息(私有的) |
cron |
系统定时任务cront和at产生的日志 |
daemon |
和各个守护进程相关的日志 |
ftp |
ftp守护进程产生的日志 |
kern |
内核产生的日志(不是用户进程产生的) |
local0-local7 |
为本地使用预留的服务 |
lpr |
打印产生的日志 |
|
邮件收发信息 |
news |
与新闻服务器相关的日志 |
syslog |
有syslogd服务产生的日志信息(虽然服务名称已经改为rsyslogd,但是很多配置还是沿用了syslogd,这里并没有修改服务名) |
user |
用户等级类别的日志信息 |
uucp |
uucp子系统的日志信息,uucp是早起linux系统进行数据传递的协议,后来也常用在新闻组服务中 |
(3) 连接符号
一般的连接符号可识别为:
"*"代表所有日志等级,比如:"authpriv.*"代表authpriv认证信息服务产生的日志,所有的日志等级都记录;
"."代表只要比后面的等级高的(包含该等级)日志都记录下来。比如:"cron.info"代表cron服务产生的日志,只要日志等级大于等于info级别,就记录;
".="代表只记录所需等级的日志,其他等级的都不记录。比如:"*.=emerg"代表任何日志服务产生的日志,只要等级是emerg等级就记录。这种用法很少见,了解即好;
".!"代表不等于,也就是除了该等级的日志外,其他等级的日志都记录。
(4) 日志等级
等级名称 |
说明 |
debug |
一般的调试信息说明 |
info |
基本的通知信息 |
notice |
普通信息,但是有一定的重要性 |
warning |
警告信息,但是还不会影响到服务或系统的运行 |
err |
错误信息,一般达到err等级的信息以及可以影响到服务会系统的运行 |
crit |
临界状况信息,比err等级还要严重 |
alert |
警告状态信息,比crit还要严重,必须立即采取行动 |
emerg |
疼痛等级信息,系统已经无法使用了 |
(5) 日志记录位置
日志文件的绝对路径,如"/var/log/secure";
系统设备文件,如"/dev/lp0";
转发给远程主机,如"@192.168.0.210:514";
用户名,如"root";
忽略或丢弃日志,如"~"
3. 日志轮替
(1) 日志文件的命名规则
第一种:如果配置文件中拥有“dateext”参数,那么日志会用日期作为日志文件的后缀,例如“secure-20130603”。这样的话日志文件名不会重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可。
第二种:如果配置文件中没有“dateext”参数,那么日志文件就需要进行改名了。当第一次进行日志轮替时,当前的“secure”日志会自动改名为“secure.1”,然后新建“secure”日志,用来保存新的日志。当第二次进行日志轮替时,“secure.1”会自动改名为“secure.2”,当前的“secure”日志会自动改名为“secure.1”,然后也会新建“secure”日志,用来保存新的日志,以此类推。
(2) logrotate配置文件
该配置文件位于/etc/logortate.conf
参数 |
参数说明 |
daily |
日志的轮替周期是每天 |
weekly |
日志的轮替周期是每周 |
monthly |
日志的轮替周期是每月 |
rotate 数字 |
保留的日志文件的个数。0指没有备份 |
compress |
日志轮替时,旧的日志进行压缩 |
create mode owner group |
建立新日志,同时指定新日志的权限与所有者和所属组,如create 0600 root utmp |
mail address |
当日志轮替时,输出内容通过邮件发送到指定的邮件地址 |
missingok |
如果日志不存在,则忽略该日志的警告信息 |
notifempty |
如果日志为空文件,则不进行日志轮替 |
minsize 大小 |
日志轮替的最小值,也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替 |
size 大小 |
日志只有大于指定大小才进行日志轮替,而不是按照时间轮替 |
dateext |
使用日期作为轮替文件的后缀 |
注:大括号外的表示全局配置,而大括号内的如果有相同的配置,则按照大括号内的配置进行轮替,否则按照大括号外的进行轮替。
(3) 把apache日志加入轮替
如果是RPM包安装的服务,默认已支持轮替,不需要做任何操作。只有源码包安装的服务,才需要手工配置轮替。
/usr/local/apache2/logs/目录下的访问日志和错误日志没有进行轮替,需要加上。
vi /etc/logrotate.log
/usr/local/apache2/logs/access_log{
daily
create
rotate 30
}
(4) logrotate命令
其格式为:logrotate [选项] 配置文件名
如果此命令没有选项,则会按照配置文件中的条件进行日志轮替;-v选项显示日志轮替过程。加了-v选项,会显示日志的轮替的过程;-f选项会强制进行日志轮替。不管日志轮替的条件是否已经符合,强制配置文件中所有的日志进行轮替。
例:添加了apache的轮替配置后,使用该命令进行验证。
[root@localhost logs]# logrotate -v /etc/logrotate.conf reading config file /etc/logrotate.conf ...... reading config info for /usr/local/apache2/logs/access_log reading config info for /usr/local/apache2/logs/error_log Handling 12 logs ...... ...... rotating pattern: /usr/local/apache2/logs/access_log after 1 days (30 rotations) empty log files are rotated, old logs are removed considering log /usr/local/apache2/logs/access_log log does not need rotating rotating pattern: /usr/local/apache2/logs/error_log after 1 days (30 rotations) empty log files are rotated, old logs are removed considering log /usr/local/apache2/logs/error_log log does not need rotating