1 日志系统
Liunx的配置文件在/etc/rsyslog.d里
三个主要的日志子系统:
- 1、连接时间日志:由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序会更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
- 2、进程统计:由系统内核执行,当一个进程终止时,为每个进程往进程统计文件中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计
- 3、错误日志:由rsyslogd守护程序执行,各种系统守护进程、用户程序和内核通过rsyslogd守护程序向文件/var/log/messages报告值得注意的时间。另外有许多linux程序创建日志,像HTTP和FTP这样提供的服务器也保持详细的日志。
2 日志类型
- 系统的日志一般存在于/var/log 目录中
- rsyslog服务:是用来采集系统日志的,它不产生日志,只是起到采集作用。
主配置文件为 /etc/rsyslog.conf ,指定日志保存位置修改配置文件,修改后重启 rsyslog 服务生效
rsyslog的管理:
文件位置 | 日志信息 |
---|---|
/var/log/messages | 大多数系统日志信息,内核及公共消息日志 |
/var/log/secure | 安全和身份认证相关的信息的日志 |
/var/log/maillog | 系统邮件服务信息的日志 |
/var/log/cron | 系统定时任务信息的日志 |
/var/log/boot.log | 系统启动的日志,记录系统在引导过程中发生的时间 |
/var/log/lastlog | 用户登录日志 |
/var/log/wtmp | 当前登录用户详细信息 |
/var/log/btmp | 记录失败的的记录 |
/var/run/utmp | 用户登录、注销及系统开、关等事件 |
日志类型分为:
日志类型 | |
---|---|
auth | pam 产生的日志 |
authpriv | ssh,ftp 等登录信息的验证信息 |
cron | 时间任务相关 |
kern | 内核 |
lpr | 打印 |
邮件 | |
mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
news | 新闻组 |
user | 用户程序产生的相关信息 |
uucp | unix to unix copy,unix 主机之间相关的通讯 |
local 1~7 | 自定义的日志设备 |
日志级别分为:
debug | 有调试信息的,日志信息最多 |
info | 一般信息的日志,最常用 |
notice | 最具有重要性的普通条件的信息 |
warning | 警告级别 |
err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
crit | 严重级别,阻止整个系统或者整个软件不能工作的信息 |
alert | 需要立刻修改的信息 |
emerg | 内核崩溃等严重信息 |
none | 什么都不记录 |