本文介绍日志管理的重要性和rsyslog服务在CentOS6.x中的应用,包括日志服务的特点、常见日志作用、日志文件格式、配置文件解析、日志轮替原理及配置。
1、日志管理简介
日志记录操作系统或者最近的程序运行的状态、遇到的错误等。
遇到服务器等出现问题,先去查日志,再去看解决办法,再去动计算机或者服务器。
2、日志服务
》在CentOS6.x 中日志服务已经由rsyslogd 取代了原先的syslog服务。rsyslogd日志服务更加
先进,功能更多。但是不论该服务的使用,还是日志文件的格式其实都是和syslogd服务相兼容
的,所以学习起来基本和syslogd 服务一致。
》rsyslogd的新特点:
>基于TCP网络协议传输日志信息;
>更安全的网络传输方式;
> 有日志消息的及时分析框架;
> 后台数据库;
>配置文件中可以写简单的逻辑判断;
> 与syslogd配置文件相兼容。
》确定服务启动
[root@localhost ~]# ps aux | grep rsyslogd
# 查看服务是否启动
[root@localhost ~]# ps aux | grep rsyslogd
root 1557 0.0 0.0 249152 1720 ? Sl 00:13 0:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
root 4607 1.0 0.0 103340 876 pts/0 S+ 05:26 0:00 grep rsyslogd
[root@localhost ~]#
#只有显示出 /var/run/syslogd.pid 服务出来才能表名服务运行打开
[root@localhost ~]# chkconfig --list | grep rsyslogd
# 查看服务是否自启动
[root@localhost ~]# chkconfig --list | grep rsyslogd
[root@localhost ~]# chkconfig --list | grep rsyslog
rsyslog 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
3、常见日志的作用:
| 日志文件 | 说明 |
| /var/log/cron | 记录了系统定时任务相关的日志 |
| /var/log/cups/ | 记录打印信息的日志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/btmp | 记录错误登录的日志。这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看,命令如下:[root@localhost ~]#lastb #有人在 |
| /var/log/lastlog | 记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件,不能直接vi,而要使用lastl命令查看。 |
| /var/log/mailog | 记录邮件信息。 |
| /var/log/message | 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。比如说系统的登录,ssh的登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
| /var/log/wtmp | 永久记录所有用户的登录,注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看 |
| /var/run/utmp | 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询 |
[root@localhost ~]# cd /var/log
[root@localhost log]# ls
anaconda.ifcfg.log cron-20181209 maillog-20181216 samba tallylog
anaconda.log cron-20181216 maillog-20181231 secure wpa_supplicant.log
anaconda.program.log cron-20181231 maillog-20190113 secure-20181209 wtmp
anaconda.storage.log cron-20190113 messages secure-20181216 Xorg.0.log
anaconda.syslog cups messages-20181209 secure-20181231 Xorg.0.log.old
anaconda.xlog dmesg messages-20181216 secure-20190113 Xorg.1.log
anaconda.yum.log dmesg.old messages-20181231 spice-vdagent.log Xorg.1.log.old
audit dracut.log messages-20190113 spooler Xorg.2.log
boot.log gdm ntpstats spooler-20181209 Xorg.2.log.old
btmp httpd pm-powersave.log spooler-20181216 Xorg.9.log
btmp-20190113 lastlog ppp spooler-20181231 yum.log
ConsoleKit maillog prelink spooler-20190113 yum.log-20190113
cron maillog-20181209 sa sssd
[root@localhost log]#
》除了系统默认的日志之外,采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录中
(源码包安装的服务日志是在源码包指定目录中)。不过这些日志不是由rsyslogd服务来记录和管理的,
而是各个服务使用自己的日志管理文档来记录自身日志。
| 日志文件 | 说明 |
| /var/log/httpd/ | RPM包安装的Apache服务的默认日志目录 |
| /var/log/mail/ | RPM包安装的邮件服务的额外日志目录 |
| /var/log/samba/ | RPM包安装的Samba服务的日志目录 |
| /var/log/sssd/ | 守护进程安全服务目录 |
二、rsyslogd 日志服务
1、日志文件格式:
》基本日志格式包含以下四列:
>事件产生的时间;
>发生事件的服务器的主机名;
> 产生事件的服务名或者程序名;
>事件的具体信息。
[root@localhost ~]# vi /var/log/secure
Jan 13 06:20:52 localhost sshd[4753]: Accepted password for root from 192.168.1.138 port 64873 ssh2
Jan 13 06:20:53 localhost sshd[4753]: pam_unix(sshd:session): session opened for user root by (uid=0)
~
~ 2、/etc/rsyslog.conf配置文件
authpriv . * /var/log/secure
#服务名称[连接符号] 日志等级 日志记录位置
#认证相关服务. 所有日志等级 记录在/var/log/secure日志中
》都有哪些服务呢
| 服务名称 | 说明 |
| auth | 安全和认证相关消息(不推荐使用authpriv替代) |
| authpriv | 安全和认证相关消息(私有的) |
| cron | 系统定时任务cront 和at产生的日志 |
| daemon | 和各个守护进程相关的日志 |
| ftp | ftp守护进程产生的日志 |
| kern | 内核产生的日志(不是用户进程产生的) |
| local0-local7 | 为本地使用预留的服务 |
| lpr | 打印产生的日志 |
| 邮件收发消息 | |
| news | 与新闻服务器相关的日志 |
| syslog | 有syslogd服务产生的日志信息(虽然服务名称已经改为rsyslogd,但是很多配置都还是沿用了syslogd,这里并没有修改服务名) |
| user | 用户等级类别的服务 |
| uucp | uucp子系统的日志信息,uucp是早期Linux系统进行数据传递的协议,后来也常用在新闻组服务中 |
》连接符号可以识别为:
> “ * ” 代表所有日志等级,比如“authpriv.* ” 代表authpriv认证信息服务产生的日志,所有的日志等级都记录
>“ . ” 点代表只要比后面的等级高的(包含该等级)日志都记录下来。比如“ cron.info” 代表cron 服务产生
的日志,只要日志等级大于等于info 级别,就记录。
> “ .= ” 代表只记录所需等级的日志,其他等级的都不记录。比如:“ * .= emerg”代表人和日志服务产生的日志,
只要等级是emerg等级就记录。这种用法极少见,了解就好
> “ .!” 点感叹号代表不等于,也就是除了该等级的日志外,其他等级的日志都记录。
》日志等级(等级从debug——>emerg 等级逐渐变高)
| 等级名称 | 说明 |
| debug | 一般的调试信息说明 |
| info | 基本的通知信息 |
| notice | 普通信息,但是有一定的重要性 |
| warning | 警告信息,但是还不会影响到服务或系统的运行 |
| err | 错误信息,一般达到err级别的信息以及可以影响到服务或系统的运行了 |
| crit | 临界状况信息,比err等级还严重 |
| alert | 警告状态信息,比crit还要严重。必须立即采取行动 |
| emerg | 疼痛等级信息,系统已经无法使用了 |
》日志记录位置
1、日志文件的绝对路径,如“/var/log/secure”
2、系统设备文件,如“ /dev/lp0 ”
3、转发给远程主机,如“@192.168.0.210:514” 相当于为多台机器创建了一个独立的日志服务器
4、用户名,如“root” 必须该用户在线
5、忽略或丢弃日志,如“~”
三、日志管理——日志轮替:
访问量 一天一两万个ip地址,大概就是一两个用户,一天一共有十几万个pv,pv就是指一个用户登录进来之后点了多少次
一个小时就是几十万个pv,高峰期就是一个小时十几万,几十万个ip,pv就直接上百万,在Apache一周的日志量就一、两百MB
一个几个G的纯文本文档,在Windows上打开时,可能打开该文件的软件就直接崩溃了
日志轮替,就是指将一定量的日志固定分割成几小块;日志需要做删除、轮换,就是把旧的日志删除,换成新的,比如保留最近一个月的日志
日志轮替包含日志的按天或者其他标准分隔 和日志定期或者定量的轮换。
2、日志文件轮替的命名规则:
》规则一、如果配置文件中拥有“dateext”参数,那么日志会用日期来作为日志文件的后缀,例如“secure-20190110”.这样的话日志文件名不会查重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可。
》规则2、如果配置文件中没有“dateext”参数,那么日志文件就需要进行改名了。当第一次进行日志轮替时,当前的“secure”日志会自动改名为“secure.1”,然后新建“secure”日志,用来保存新的日志。当第二次进行日志轮替时,“secure.1”日志会自动改名为“secure.2”,当前的secure日志会自动改名为“secure.1”,然后也会新建“secure”日志,用来保存新的日志,依次类推。
3、logrotate配置文件
| 参数 | 参数说明 |
| daily | 日志的轮替周期是每天 |
| weekly | 日志的轮替周期是每周 |
| monthly | 日志的轮替周期是每月 |
| rotate 数字 | 保留的日志文件的个数,0指没有备份 |
| compress | 日志轮替时,旧的日志进行压缩 |
| create mode owner group | 建立新日志,同时指定新日志的权限与所有者和所属组。如create 0600 root utmp |
| mail address | 当日志轮替时,输出内容通过邮件发送到指定的邮件地址。如 mail shenc@lamp.net |
| missingok | 如果日志不存在,则忽略该日志的警告信息 |
| notifempty | 如果日志为空文件,则不进行日志轮替 |
| minisize 大小 | 日志轮替的最小值。也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不会轮替 |
| size 大小 | 日志只有大于指定的阿晓才进行日志轮替,而不是按照时间轮替。如size 100k |
| dateext | 使用日期作为日志轮替文件的后缀。如secure-20190110 |
扫一扫
1032
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
