- 处理日志进程
- 系统专职日志程序(rsyslogd)。处理绝大部分日志记录,
系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息 - 各类应用程序
- 系统专职日志程序(rsyslogd)。处理绝大部分日志记录,
- 日志轮转(logrotate)
1.处理日志进程
系统日志程序(rsysylogd)
/var/log/messages 系统主日志文件
/var/log/secure 认证、安全
/var/log/cron crond、at进程产生的日志
/var/log/dmesg 和系统启动相关
/var/log/audit/audit.log 系统审计日志
/var/log/mysqld.log MySQL
/var/log/xferlog 和访问FTP服务器相关
/var/log/wtmp 当前登录的用户(命令:w)
/var/log/btmp 最近登录的用户(命令last)
/var/log/lastlog 所有用户的登录情况(命令lastlog )
esyslog相关文件:
/etc/rsyslog.conf rsyslogd的主配置文件(关键)
/etc/sysconfig/rsyslog rsyslogd相关文件,定义级别(了解一下)
/etc/logrotate.d/syslog 和日志轮转(切割)相关(任务二)
主配置文件里面的规则:
RULES即规则,有三部分组成(由设备+级别+存放位置) RULES由FACILITY+LEVEL+FILE组成。
*.info;mail.none;authpriv.none;cron.none /var/log/messages
系统日志排除了邮件,认证,计划日志。
设备类型:
LOG_SYSLOG syslogd自身产生的日志
LOG_AUTHPRIV 安全认证
LOG_CRON 调度程序(cron and at)
LOG_MAIL 邮件系统mail subsystem
LOG_USER (default) 用户相关
LOG_DAEMON 后台进程
LOG_FTP 文件服务器ftp daemon
LOG_KERN 内核设备kernel messages
LOG_LPR 打印机设备 printer subsystem
LOG_LOCAL0 through LOG_LOCAL7 用户自定义设备
level级别:
LOG_EMERG 紧急,致命,服务无法继续运行,如配置文件丢失
LOG_ALERT 报警,需要立即处理,如磁盘空使用95%
LOG_CRIT 致命行为
LOG_ERR 错误行为
LOG_WARNING 警告信息
LOG_NOTICE 普通,重要的标准信息
LOG_INFO 标准信息
LOG_DEBUG 调试信息,排错所需,一般不建议使用
修改应用程序的应用类型:(如ssh)
打开sshd的配置文件,修改配置文件中的SyslogFacility后面的类型
并修改rsyslog程序的规则信息,之后之后重启ssh和rsyslog
2.日志轮转(logrotate)
日志轮转配置文件:
主配置文件:/etc/logrotate.conf (决定每个日志文件如何轮转)
子配置文件夹:/etc/logrotate.d/* 自定义配置 便于管理
轮转规则:
missingok //丢失不执行
# notifempty //空文件不论转
# maxsize 30k //达到30k轮转, daily or size
# yearly //或者一年一轮转
daily //缩小周期到1天
rotate 3 //轮转保留3次
create 0777 root root