十、日志管理
1.处理日志的进程
分为两类:系统的日志和各类应用程序的日志
第一类:rsyslogd系统专职日志程序
处理绝大部分日志记录,系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息。
观察reyslogd程序
ps aux | grep rsyslogd
2.常见的日志文件(系统进程、应用程序)
系统主日志文件位置
cat /var/log/messages | wc -l 行数
一般只看10-20行
tail -10 /var/log/messages
动态查看日志文件的尾部
tail -f /var/log/messages
认证、安全
tail -f /var/log/secure
yum
tail /var/log/yum.log
跟邮件postfix相关
tail /var/log/maillog
cron、at进程产生的日志
tail /var/log/cron
和系统启动相关
tail /var/log/dmesg
3.rsyslogd配置
yum instal rsyslog logrotate 默认已安装
启动程序
systemctl start rsyslog.service
相关文件
rpm -qc rsyslog
——————————
分别是 日志轮转(切割)相关文件
rsyslogd的主配置文件
rsyslogd相关文件,定义级别
——————————
man和help的区别
man详细 help方便
man rpm
rpm --help
4.主配文件特性
共性:rsyslog程序一定在
/etc/rsyslog.conf中
如:ssh程序主配置文件是
------------恢复内容开始------------
1.处理日志的进程
分为两类:系统的日志和各类应用程序的日志
第一类:rsyslogd系统专职日志程序
处理绝大部分日志记录,系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息。
观察reyslogd程序
ps aux | grep rsyslogd
2.常见的日志文件(系统进程、应用程序)
系统主日志文件位置
cat /var/log/messages | wc -l 行数
一般只看10-20行
tail -10 /var/log/messages
动态查看日志文件的尾部
tail -f /var/log/messages
认证、安全
tail -f /var/log/secure
yum
tail /var/log/yum.log
跟邮件postfix相关
tail /var/log/maillog
cron、at进程产生的日志
tail /var/log/cron
和系统启动相关
tail /var/log/dmesg
3.rsyslogd配置
yum instal rsyslog logrotate 默认已安装
启动程序
systemctl start rsyslog.service
相关文件
rpm -qc rsyslog
——————————
分别是 日志轮转(切割)相关文件
rsyslogd的主配置文件
rsyslogd相关文件,定义级别
——————————
man和help的区别
man详细 help方便
man rpm
rpm --help
4.主配文件特性
共性:rsyslog程序一定在
/etc/rsyslog.conf中
如:ssh程序主配置文件是
------------恢复内容结束------------
------------恢复内容开始------------
1.处理日志的进程
分为两类:系统的日志和各类应用程序的日志
第一类:rsyslogd系统专职日志程序
处理绝大部分日志记录,系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息。
观察reyslogd程序
ps aux | grep rsyslogd
2.常见的日志文件(系统进程、应用程序)
系统主日志文件位置
cat /var/log/messages | wc -l 行数
一般只看10-20行
tail -10 /var/log/messages
动态查看日志文件的尾部
tail -f /var/log/messages
认证、安全
tail -f /var/log/secure
yum
tail /var/log/yum.log
跟邮件postfix相关
tail /var/log/maillog
cron、at进程产生的日志
tail /var/log/cron
和系统启动相关
tail /var/log/dmesg
3.rsyslogd配置
yum instal rsyslog logrotate 默认已安装
启动程序
systemctl start rsyslog.service
相关文件
rpm -qc rsyslog
——————————
分别是 日志轮转(切割)相关文件
rsyslogd的主配置文件
rsyslogd相关文件,定义级别
——————————
man和help的区别
man详细 help方便
man rpm
rpm --help
4.主配文件特性
共性:rsyslog程序一定在
/etc/rsyslog.conf中
如:ssh程序主配置文件是
/etc/ssh.conf
5.RULES
在/etc/rsyslog.conf中 ####RULES####即规则,是一套生成日志、以及存储日志的策略。
组成:设备FACILITY + 级别LEVEL + 存放位置PATH
6.FACILITY设备
简介
关于程序和设备的联系问题,程序自身会决定将日志交给哪类设备,而这一点由开发者定义。如ssh程序交由安全类设备。
grep Facility /etc/ssh/sshd_config
即系统分忧多类型设备,每个设备贯通类型的多个软件。
LOG_SYSLOG syslogd自身产生的日志
LOG_AUTHPRIV 安全认证
LOG_CRON 调度程序(cron和at)
LOG_MAIL 邮件系统
LOG_USER 用户相关
LOG_DAEMON 后台进程
LOG_FTP 文件服务器
LOG_KERN 内核设备
LOG_LOCALO through LOG_LOCAL 用户自定义
7.LEVEL级别
LOG_EMERG 紧急,致命
LOG_ALERT 报警,需要立即处理
LOG_CRIT 致命行为
LOG_ERR 错误行为
LOG_WARNING 警告信息
LOG_NOTICE 普通,重要的标准信息
LOG_INFO 标准信息
LOG_DEBUG 调试信息,排错所需,一般不建议使用
* 任何信息
8.日志轮转logrotate
简介
日志的累积是有限空间的磁盘面临的问题。日志轮转如行车记录仪,会删除救援的日志文件。
9.工作原理
按照配置进行轮转
配置文件种类
观察主文件和子文件
配置文件种类
主文件 /etc/logrotate.conf
子文件 /etc/logrotate.d/*
观察主文件和子文件
ls /etc/logrotate.conf /etc/logrotate.d/
主配置文件介绍
weekly 轮转的周期,一周轮转
rotate 保留4份
create 轮转后创建新文件
dateext dateextend时间为文件的扩展名
#compress 是否压缩(关闭状态)
include /etc/logrotate.d 包含该目录下的子配置文件
/var/log/wtmp{ 局部设置,对某日志文件设置轮转的方法
monthly 每月轮转一次
minsize 1M 最小达到1M才轮转
create 0664 root utmp 轮转后创建文件,并设置权限
rotate 1 保留1份
/var/log/btmp{
missingok 丢失后不提示
monthly 每月轮转一次
create 0600 root utmp 轮转后创建新文件,并设置权限
rotate 1 保留1份