目录
3.1 /etc/rsyslog.d/50-default.conf
5. syslog.1和syslog.2.gz等文件是如何生成
-
1. rsyslog简介
Rsyslog 是一个 syslogd 的多线程增强版,依然基于Syslog协议(linux6之前默认使用syslog程序,centos6用rsyslog所取代)完成系统日志的处理转发,官方形容它是一个极速(如火箭般快速)的日志处理系统。
它的作用是为了保存相关程序的运行状态、错误信息等,为了对系统进行分析、保存历史记录以及在出现错误时发现、分析错误使用。
它主要用来采集日志,本身不生产日志。
2. 查看/var/log
user@localhost:/var/log$ ll
total 2696
drwxrwxr-x 7 root syslog 4096 Jan 25 01:51 ./
drwxr-xr-x 14 root root 4096 Jul 28 2021 ../
drwxr-xr-x 2 root root 4096 Sep 12 06:26 apt/
-rw-r----- 1 syslog adm 60238 Jan 25 02:01 auth.log
-rw-r----- 1 syslog adm 45916 Jan 21 06:25 auth.log.1
-rw-r----- 1 syslog adm 3446 Jan 14 06:25 auth.log.2.gz
-rw-r----- 1 syslog adm 2278 Jan 8 06:25 auth.log.3.gz
-rw-r----- 1 syslog adm 1914 Jan 3 06:25 auth.log.4.gz
-rw-rw---- 1 root utmp 3200 Jan 25 01:52 btmp #记录错误登录的日志,二进制文件,使用lastb命令查看
-rw-rw---- 1 root utmp 0 Dec 1 06:25 btmp.1
drwxr-xr-x 2 _chrony _chrony 4096 Aug 25 2020 chrony/
-rw-r--r-- 1 root root 0 Dec 8 06:25 dpkg.log
-rw-r--r-- 1 root root 798 Dec 6 06:36 dpkg.log.1
-rw-r--r-- 1 root root 803 Nov 21 08:21 dpkg.log.2.gz
-rw-r--r-- 1 root root 997 Sep 11 09:05 dpkg.log.3.gz
-rw-r----- 1 syslog adm 699919 Jan 24 22:17 kern.log
-rw-r----- 1 syslog adm 40633 Jan 21 05:23 kern.log.1
-rw-r----- 1 syslog adm 56333 Jan 12 05:52 kern.log.2.gz
-rw-r----- 1 syslog adm 40471 Jan 8 01:46 kern.log.3.gz
-rw-r----- 1 syslog adm 86712 Jan 3 06:11 kern.log.4.gz
-rw-rw-r-- 1 root utmp 296296 Jan 25 01:56 lastlog #记录系统中所有用户最后一次登录时间的日志,二进制文件,使用lastlog命令查看
-rw-r----- 1 syslog adm 1190210 Jan 25 01:56 syslog
-rw-r----- 1 syslog adm 237999 Jan 24 06:25 syslog.1
-rw-r----- 1 syslog adm 3059 Jan 23 06:25 syslog.2.gz
-rw-r----- 1 syslog adm 16078 Jan 22 06:25 syslog.3.gz
-rw-r----- 1 syslog adm 15477 Jan 21 06:25 syslog.4.gz
-rw-r----- 1 syslog adm 1334 Jan 20 06:25 syslog.5.gz
-rw-r----- 1 syslog adm 1298 Jan 19 06:25 syslog.6.gz
-rw-r----- 1 syslog adm 3723 Jan 18 06:25 syslog.7.gz
-rw-r--r-- 1 root root 2604 Jan 10 01:20 ubuntu-advantage-timer.log
-rw-r--r-- 1 root root 550 Dec 8 06:19 ubuntu-advantage-timer.log.1
-rw-r--r-- 1 root root 1388 Dec 1 03:34 ubuntu-advantage-timer.log.2.gz
-rw-r--r-- 1 root root 496 Nov 1 05:12 ubuntu-advantage-timer.log.3.gz
-rw-r--r-- 1 root root 913 Oct 9 04:50 ubuntu-advantage-timer.log.4.gz
drwxr-xr-x 2 root root 4096 Dec 8 06:25 unattended-upgrades/
-rw-rw-r-- 1 root utmp 80000 Jan 25 01:56 wtmp #永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机时间。二进制文件,使用last命令查看。
-rw-rw-r-- 1 root utmp 42400 Jan 3 05:56 wtmp.1
上面标记红色的文件为所有owner为syslog的文件,均为与rsyslogd进程有关的文件。
3. syslog的配置文件
syslog的配置文件有:
/etc/rsyslog.d/50-default.conf
/etc/rsyslog.conf
3.1 /etc/rsyslog.d/50-default.conf
这个文件标明了syslog的每个文件是怎么生成的。文件内容为:
# Default rules for rsyslog.
#
# For more information see rsyslog.conf(5) and /etc/rsyslog.conf
#
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log # 将所有auth和authpriv设施(通常与安全和认证相关的日志)的所有优先级(`*` 表示所有优先级)的消息写入 `/var/log/auth.log` 文件。用sudo执行的命令会显示在这个文件中。
*.*;auth,authpriv.none -/var/log/syslog #将除了auth和authpriv的所有优先级的消息都写入/var/log/syslog。符号-表示使用异步写入,提高性能但在系统崩溃时可能会丢失数据。
#cron.* /var/log/cron.log #注释了,所以不写入cron消息
#daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log #将内核(`kern` 设施)的所有消息异步写入 `/var/log/kern.log` 文件。
#lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log #将邮件系统(`mail` 设施)的所有消息异步写入 `/var/log/mail.log` 文件。
#user.* -/var/log/user.log
#
# Logging for the mail system. Split it up so that
# it is easy to write scripts to parse these files.
#
#mail.info