日志管理

默认日志存放路径

/var/log

常见日志

btmp		登陆失败信息日志（该文件过大可能有人在对你进行暴力破解）
lastlog		最近几次登陆和最后一次登陆失败日志
messages	从 syslog 记录信息日志
utmp		记录当前登陆的每一个用户日志
whmp		系统登陆情况日志

清空日志

> /var/log/file

日志种类

daemon	后台进程
kern	内核产生信息
lpr		打印系统产生
cron	定时相关
mail	邮件相关
news	新闻系统
syslog	日志服务本身
authpriv	安全认证
local0~7	自定义的日志设备

日志级别

由重到轻

emery	紧急，内核崩溃
alert	警报，需要立刻修改
crit	关键错误，已经影响到了整个的系统或者软件不能正常工作的信息
err		错误，阻止某个模块或者程序的功能不能正常使用
warning	警告
info	正常
debug	调试级别的信息

/etc/syslog.conf 配置文件

MODULES 日志的模块

$ModLoad imuxsock	支持本地系统日志的模块
$ModLoad imklog		支持内核日志的模板
$ModLoad immark		支持日志标记
$ModLoad imudp		支持udp协议
$ModLoad imtcp		支持tcp协议
$UDPServerRun 514	允许514端口接收使用udp和tcp协议转发过来的日志

mail、authpiv、cron存放位置

authpriv.* 认证的信息–>存放–> /var/log/secure
mail.* 邮件相关的信息->存放–> -/var/log/maillog
cron.* 计划任务相关的信息–>存放–> /var/log/cron
local7.* 开机时显示的信息–>存放–> /var/log/boot.log

日志输入规则

-info	高于info级别的信息全部都记录到某个文件里去
.=		仅记录等于某个级别的日志
.!		除了某个级别
.none	排除某个类别

日志切割 自定义ssh服务的日志

编辑rsyslog配置文件

[root@ localhost ~]# vim /etc/rsyslog.conf 
 63 local0.*                                                /var/log/sshd.log

定义ssh服务日志级别

[root@ localhost ~]# vim /etc/ssh/sshd_config 
 36 SyslogFacility local0

重启rsyslog和sshd服务

[root@ localhost ~]# service rsyslog restart
[root@ localhost ~]# service sshd restart

查看是否生成日志

[root@ localhost ~]# more /var/log/sshd.log 
Feb 18 15:35:13 localhost sshd[5311]: Server listening on 0.0.0.0 port 22.
Feb 18 15:35:13 localhost sshd[5311]: Server listening on :: port 22.
注释：时间——主机名——服务名——进程ID——端口

切割sshd.log日志

[root@ localhost ~]# vim /etc/logrotate.conf 
/var/log/sshd.log {		//指定要切割的日志文件
    missingok			//文件丢失不报错
    
    monthly				//每月轮换一次
    create 0600 root utmp	//设置日志文件的属主数组
    minsize 10M			//文件超过10M就切割
    rotate 1			//日志切割后保留1份历史数据
}

强制切割

[root@ localhost ~]# logrotate –vf /etc/logrotate.conf