38、日志管理：从基础到高级应用

日志管理：从基础到高级应用

日志管理概述

系统守护进程、内核和自定义应用程序都会产生操作数据，这些数据会被记录下来并最终存储在有限容量的磁盘上。这些数据的使用寿命有限，在最终被丢弃之前，可能需要进行汇总、过滤、搜索、分析、压缩和存档。访问和审计日志可能需要根据监管保留规则或站点安全策略进行严格管理。

日志消息通常是一行带有一些属性的文本，包括时间戳、事件类型和严重性，以及进程名称和 ID（PID）。消息内容可以从新进程启动的无害提示到关键错误条件或堆栈跟踪。系统管理员的职责是从这些源源不断的消息中收集有用的、可操作的信息。

日志管理通常可以分为以下几个主要子任务：
- 从各种来源收集日志
- 提供一个结构化的接口，用于查询、分析、过滤和监控消息
- 管理消息的保留和过期，以便在信息可能有用或法律要求的时间内保留信息，但不是无限期保留

日志管理系统介绍

• syslog ：UNIX 历史上通过一个集成但有些简陋的系统 syslog 来管理日志。它为应用程序提供了一个标准化的接口来提交日志消息，对消息进行分类并保存到文件中，或者通过网络将它们转发到另一台主机。然而，syslog 只处理上述日志任务中的第一项（消息收集），并且其默认配置在不同操作系统之间差异很大。
• systemd 日志 ：Linux 的 systemd 日志是解决日志管理混乱的第二次尝试。它收集消息，以索引和压缩的二进制格式存储它们，并提供一个命令行界面来查看和过滤日志。该日志可以独立运行，也可以根据配置与 syslog 守护进程以不同程