Linux-日志系统与日志分割_linux中 var log secure日志怎么切割(1)

最后的话

最近很多小伙伴找我要Linux学习资料，于是我翻箱倒柜，整理了一些优质资源，涵盖视频、电子书、PPT等共享给大家！

资料预览

给大家整理的视频资料：

给大家整理的电子书资料：

如果本文对你有帮助，欢迎点赞、收藏、转发给朋友，让我有持续创作的动力！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

/var/log/secure Linux系统安全日志，记录用户和工作组变化情况、
用户登陆认证情况
/var/log/syslog：只记录警告信息，常常是系统出问题的信息，使用
lastlog查看
/var/log/wtmp 记录用户登录、注销、系统启动、关键等信息，使用
last命令查看
/var/log/btmp 记录失败或者是错误的登录信息和验证 lastb命令查看
/var/run/utmp： 该日志文件记录有关当前登录的每个用户的信息。如
who、w、users、finger等就需要访问这个文件

**日志级别：**

0 emerg 会导致主机系统不可用的情况
1 alert 必须马上采取措施解决的问题
2 crit 比较严重的情况
3 err 运行出现问题

4 warning 可能影响系统功能，需要提醒用户的重要事件
5 notice 不会影响正常功能，但是需要注意的事件
6 info 一般信息
7 debug 程序或系统调试信息等
8 none 不记录任何日志

二，rsyslog.conf文件分析

rsyslog服务的配置文件：

[root@localhost ~]# cat /etc/rsyslog.conf | grep -v "^$" | grep -v  "^#"
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

加载模块，转发端口等基本配置

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state

服务名称

auth # 认证相关的
authpriv # 权限,授权相关的
cron # 任务计划相关的
daemon # 守护进程相关的
kern # 内核相关的
lpr # 打印相关的
mail # 邮件相关的
mark # 标记相关的
news # 新闻相关的
security # 安全相关的,与auth 类似 
syslog # syslog自己的
user # 用户相关的
uucp # unix to unix cp 相关的
local0 到 local7 # 用户自定义使用
* # *表示所有的facility

配合日志级别举例：

1、//mail的info级别以上的信息，记录的位置
mail.info /var/log/mail
2、//只记录info这一个级别。
auth.=info
3、//user的相关信息但不包括error，取反。
user.!=error
4、//所有日志的info以上的信息
*.info
5、//mail的所有级别
mail.*
6、//所有服务的所有级别
*.*
7、//合并日志，写到一块
cron.info;mail.info

action(动作)日志记录的位置：

- 	//延迟写入，系统不繁忙的时候才写入。

发送邮件，通过什么协议
@@192.168.1.1 TCP
@192.168.1.1 UDP

*号表示所有在线用户

~ 忽略日志

^号后跟可执行脚本或程序的绝对路径

案例：更改系统安全日志secure的记录位置
将secure的位置更改为/usr/local/secure
authpriv.* 	/usr/local/secure

systemctl restart rsyslog
chattr +a /usr/local/secure

三，日志的采集

虽然以后，我们接触到很多相关日志采集的服务和应用，气死系统本身也 是支持日志采集功能的，使用系统的rsyslog服务即可。

实验需求

node1	node2
192.168.2.1	192.168.2.2

企业环境可以使用ELK，但rsyslog也可以实现日志收集功能

案例环境：将node01的日志发送到node02

node01：
vim /etc/rsyslog.conf
15 $ModLoad imudp 
16 $UDPServerRun 514 

18 # Provides TCP syslog reception 
19 $ModLoad imtcp 
20 $InputTCPServerRun 514 
//文件最后添加 
92 *.* @192.168.8.20

systemctl restart rsyslog


node02：
vim /etc/rsyslog.conf
15 $ModLoad imudp 
16 $UDPServerRun 514 

18 # Provides TCP syslog reception 
19 $ModLoad imtcp 
20 $InputTCPServerRun 514 

systemctl restart rsyslog
tailf /var/log/messages	

案例2：把nginx的日志发送给node02

node01：
vim /etc/rsyslog.conf
$ModLoad imfile 
$InputFilePollInterval 1 
$InputFileName /var/log/nginx/access.log 
$InputFileTag nginx-info-access;
$InputFilestateFile state-nginx-info-accesslog 
$InputRunFileMonitor 
$InputFileName /var/log/nginx/error.log 
$InputFileTag nginx-info-error; 
$InputFilestateFile state-nginx-info-errorlog 
$InputRunFileMonitor 
$InputFilePollInterval 10 
if $programname == 'nginx-info-access' then @192.168.8.20:514 
if $programname == 'nginx-info-access' then ~ 
if $programname == 'nginx-info-error' then @192.168.8.20:514 
if $programname == 'nginx-info-error' then ~

参数解释：
//间隔多久采集1次。默认单位是秒
$InputFilePollInterval 1
//采集的日志的名称
$InputFileName /usr/local/nginx/logs/access.log
//给对应的日志打一个标签
$InputFileTag nginx-info-access;
//给这个日志命名
$InputFilestateFile state-nginx-info-accesslog
//启动监控
$InputRunFileMonitor

四，日志分割

**1）**为甚么要做日志的切割那？

因为日志会越来越大，我们做的实验这才仅仅只是一台主机的日志，如果 是一个集群，像百度这样的大型网站，到时候访问量很大的情况之下，我 们就的日志就会变的很大

**2）**为了防止日志文件过大，所以我们要做到日志定期的切割和清理。

**3）**怎么做那？ 我们的系统有自带的日志轮滚的功能，需要调试。配置文件 在/etc/logrotate.conf

可能有人就会有疑问，我们可以直接用命令cp、另一份，然后保存一下就 可以了，但大家忘了一点了，日志有可能是时时刻刻都在更新，这就有可 能在你CP的时候，数据就会不完整。

//查看/etc/logrotate.conf相关配置信息。

最全的Linux教程，Linux从入门到精通

======================

1. linux从入门到精通(第2版)

2. Linux系统移植

3. Linux驱动开发入门与实战

4. LINUX 系统移植 第2版

5. Linux开源网络全栈详解 从DPDK到OpenFlow

第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘，内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。

本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读，同时也非常适合准备从事Linux平台开发的各类人员。

需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！