Linux学习笔记(21) Linux日志管理

时间:2024-04-28 11:38:06

1. 简介

(1) 日志服务

在CentOS 6.x中日志服务已经由rsyslogd取代了原先的syslogd服务。rsyslogd日志服务更加先进,功能更多。但是不论该服务的使用,还是日志文件的格式其实都是和syslogd服务相兼容的,所以学习起来基本和syslogd服务一致。

rsyslogd的新特点:

基于TCP网络协议传输日志信息;更安全的网络传输方式;有日志消息的及时分析框架;后台数据库;配置文件中可以写简单的逻辑判断;与syslogd配置文件相兼容。

1)确定服务启动

ps aux | grep rsyslogd #查看服务是否启动

chkconfig –list | grep rsyslog #查看是否自启动

2)常见日志的作用

日志文件

说明

/var/log/cron

记录了系统定时任务相关的日志

/var/log/cups/

记录打印信息的日志

/var/log/dmesg

记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息

/var/log/btmp

记录错误登录的日志。该文件是二进制文件,不能直接vi查看,而要使用lastb命令查看

/var/log/lastlog

记录系统中所有用户最后一次登录时间的日志,该文件也是二进制文件,不能直接vi,而要使用lastlog命令查看

/var/log/mailog

记录邮件信息

/var/log/message

记录系统重要信息的日志。这个日志中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件

/var/log/secure

记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。如系统的登录,ssh的登录,su切换用户,sudo授权,甚至添加用户修改用户密码都会记录在这个日志文件中

/var/log/wtmp

永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,需使用last命令来查看

/var/prun/utmp

记录当前已经登录的用户信息。这个文件会随着用户的登录和注销而不断变化,只记录当前用户的信息,同样这个文件不能之间vi,需使用w、who、users等命令来查询

除了系统默认的日志之外,采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录中(源码包安装的服务日志是在源码包指定目录中),不过这些日志不是由rsyslogd服务来记录和管理的,而是由各个服务使用自己的日志管理文档来记录自身日志。常见的日志有:

日志文件

说明

/var/log/httpd

RPM包安装的apache服务的默认日志目录

/var/log/mail

RPM包安装的邮件服务的额外日志目录

/var/log/samba/

RPM包安装的samba服务的日志目录

/var/log/sssd/

守护进程安全服务目录

2. rsyslogd日志服务

(1) 日志文件格式

基本日志格式包含四列:事件产生的时间;发生事件的服务器的主机名;发生事件的服务名或程序名;事件的具体信息。

(2) /etc/rsyslog.conf配置文件

authpriv.*                                              /var/log/secure

#服务名称[连接符号]日志等级          日志记录位置

#认证相关服务.所有日志等级           记录在/var/log/secure日志中

服务名称

说明

auth

安全和认证相关消息(不推荐使用authpriv替代)

authpriv

安全和认证相关消息(私有的)

cron

系统定时任务cront和at产生的日志

daemon

和各个守护进程相关的日志

ftp

ftp守护进程产生的日志

kern

内核产生的日志(不是用户进程产生的)

local0-local7

为本地使用预留的服务

lpr

打印产生的日志

mail

邮件收发信息

news

与新闻服务器相关的日志

syslog

有syslogd服务产生的日志信息(虽然服务名称已经改为rsyslogd,但是很多配置还是沿用了syslogd,这里并没有修改服务名)

user

用户等级类别的日志信息

uucp

uucp子系统的日志信息,uucp是早起linux系统进行数据传递的协议,后来也常用在新闻组服务中

(3) 连接符号

一般的连接符号可识别为:

"*"代表所有日志等级,比如:"authpriv.*"代表authpriv认证信息服务产生的日志,所有的日志等级都记录;

"."代表只要比后面的等级高的(包含该等级)日志都记录下来。比如:"cron.info"代表cron服务产生的日志,只要日志等级大于等于info级别,就记录;

".="代表只记录所需等级的日志,其他等级的都不记录。比如:"*.=emerg"代表任何日志服务产生的日志,只要等级是emerg等级就记录。这种用法很少见,了解即好;

".!"代表不等于,也就是除了该等级的日志外,其他等级的日志都记录。

(4) 日志等级

等级名称

说明

debug

一般的调试信息说明

info

基本的通知信息

notice

普通信息,但是有一定的重要性

warning

警告信息,但是还不会影响到服务或系统的运行

err

错误信息,一般达到err等级的信息以及可以影响到服务会系统的运行

crit

临界状况信息,比err等级还要严重

alert

警告状态信息,比crit还要严重,必须立即采取行动

emerg

疼痛等级信息,系统已经无法使用了

(5) 日志记录位置

日志文件的绝对路径,如"/var/log/secure";

系统设备文件,如"/dev/lp0";

转发给远程主机,如"@192.168.0.210:514";

用户名,如"root";

忽略或丢弃日志,如"~"

3. 日志轮替

(1) 日志文件的命名规则

第一种:如果配置文件中拥有“dateext”参数,那么日志会用日期作为日志文件的后缀,例如“secure-20130603”。这样的话日志文件名不会重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可。

第二种:如果配置文件中没有“dateext”参数,那么日志文件就需要进行改名了。当第一次进行日志轮替时,当前的“secure”日志会自动改名为“secure.1”,然后新建“secure”日志,用来保存新的日志。当第二次进行日志轮替时,“secure.1”会自动改名为“secure.2”,当前的“secure”日志会自动改名为“secure.1”,然后也会新建“secure”日志,用来保存新的日志,以此类推。

(2) logrotate配置文件

该配置文件位于/etc/logortate.conf

参数

参数说明

daily

日志的轮替周期是每天

weekly

日志的轮替周期是每周

monthly

日志的轮替周期是每月

rotate 数字

保留的日志文件的个数。0指没有备份

compress

日志轮替时,旧的日志进行压缩

create mode owner group

建立新日志,同时指定新日志的权限与所有者和所属组,如create 0600 root utmp

mail address

当日志轮替时,输出内容通过邮件发送到指定的邮件地址

missingok

如果日志不存在,则忽略该日志的警告信息

notifempty

如果日志为空文件,则不进行日志轮替

minsize 大小

日志轮替的最小值,也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替

size 大小

日志只有大于指定大小才进行日志轮替,而不是按照时间轮替

dateext

使用日期作为轮替文件的后缀

注:大括号外的表示全局配置,而大括号内的如果有相同的配置,则按照大括号内的配置进行轮替,否则按照大括号外的进行轮替。

(3) 把apache日志加入轮替

如果是RPM包安装的服务,默认已支持轮替,不需要做任何操作。只有源码包安装的服务,才需要手工配置轮替。

/usr/local/apache2/logs/目录下的访问日志和错误日志没有进行轮替,需要加上。

vi /etc/logrotate.log

/usr/local/apache2/logs/access_log{

daily

create

rotate 30

}

(4) logrotate命令

其格式为:logrotate [选项] 配置文件名

如果此命令没有选项,则会按照配置文件中的条件进行日志轮替;-v选项显示日志轮替过程。加了-v选项,会显示日志的轮替的过程;-f选项会强制进行日志轮替。不管日志轮替的条件是否已经符合,强制配置文件中所有的日志进行轮替。

例:添加了apache的轮替配置后,使用该命令进行验证。

[root@localhost logs]# logrotate -v /etc/logrotate.conf
reading config file /etc/logrotate.conf
......
reading config info for /usr/local/apache2/logs/access_log
reading config info for /usr/local/apache2/logs/error_log Handling logs
......
......
rotating pattern: /usr/local/apache2/logs/access_log after days ( rotations)
empty log files are rotated, old logs are removed
considering log /usr/local/apache2/logs/access_log
log does not need rotating rotating pattern: /usr/local/apache2/logs/error_log after days ( rotations)
empty log files are rotated, old logs are removed
considering log /usr/local/apache2/logs/error_log
log does not need rotating