登录文件的介绍
登录文件记录了系统的活动信息,通过对这些信息进行分析,我们能够解决系统方面的错误、网络方面的问题。登录文件一般都在/var/log/目录下,一般情况下messages文件记录的信息最多。
- 登录文件的产生:
- 软件开发商自定义产生的登录文件及其格式
- Linux系统提供的登录文件管理服务统一管理
- 登录文件所需要的服务与程序:
- 像syslogd(记录系统与网络等服务信息) 、klogd(记录核心产生的信息)
- 当登录文件容量变得很大,访问速度下降,我们需要logrotate来自动化处理登录文件的容量与更新
记录登录文件的服务:syslogd
syslogd负责Linux的登录文件,产生各个服务的登录信息。
- 登录文件的格式:
- 事件发生的时间
- 发生此事件的主机名
- 启动此事件的服务名称和函数名称
- 信息的实际数据内容
- syslog的配置文件:/etc/syslog.conf
- 规定了:服务名称;信息等级;信息记录位置
- 信息有七个主要等级:info,notice,warn(warning),err(error),crit(临界点),alert,emerg(panic).另外还有两个特殊等级,debug与none,用于错误的侦测。
- 链接符号[.=!]:”.”表示大于等于后面接的信息等级,”.=”表示只要后面接的等级信息,”.!”表示需要除后接信息等级的所有其他信息。
- 例子:
mail.info /var/log/maillog#表示将mail信息等级info及以上的信息写入后面的文档中。
*.*;news,cron,mail.none /var/log/messages#除了cron,mail,news的信息,其他所有信息都记录在后面文档中 - 注1:在存放目录前加”-“是为了让信息先存放在内存中,等到数据量大到一定程度再一次写入档案,这样有利于提高登录文件存取性能,但非正常断电(不正常关机)可能会因数据未来得及写入而导致信息丢失。通常用于mail服务的信息存放。
- 注2:撸主的Linux为SUSE发行版,用的是syslog的替代工具syslog-ng,其比syslog更为灵活,可以制定更为细致的信息过滤条件。syslog-ng的主配置文件存放在:/etc/syslog-ng/syslog-ng.conf,其配置文件的语法格式与syslog.conf差异很大,格式为:LOG STATEMENTS『SOURCES - FILTERS -DESTINATIONS』,先单独编写这三个区块SOURCES、FILTERS、DESTINATIONS,然后上面的流程运行,也就是通过定义多个消息源,把匹配上若干个过滤器的消息导向到指定的目的地,从而组成一个消息路径。具体请参考syslog-ng。
登录文件的安全设置:利用chattr命令,加+a选项,设定登录文件只能增加内容而不能删除和写入。vi查看登录文件,
:wq命令离开,会造成该档案无法继续记录登录动作,这时候需要重启syslog服务。登录文件服务器设定:修改syslogd启动配置文件,通常在/etc/sysconfig/中,
vi /etc/sysconfig/syslog- 服务端:
SYSLOGD_OPTIONS="-m 0"改为SYSLOGD_OPTIONS="-m 0 -r",重启syslog服务 - 客户端:
vim /etc/syslog.conf添加*.* @主机IP地址,重启syslog
- 服务端:
logrotate
此程序每天周期执行,具体规则由/etc/cron.daily/logrotate记录。
- logrotate配置文件:
- /etc/logrotate.conf:主要参数文件,提供细部设定,为预设轮替状态,设置默认值。主要有rotate周期、登录文件保留个数、是否压缩登录文件等参数。
- /etc/logrotate.d/:该目录中的文件会被读入/etc/logrorate.conf中进行。其中的文件可以外加执行脚本,需要与sharedscripts与endscript合用:
sharedscripts
prerotate:在启动logrotate之前进行的命令,比如修改登录文件的属性;
postrotate:在做完logrotate之后执行的命令,比如重新启动某个服务kill -1;
两者对于加上特殊属性的档案处理相当重要。
endscript登录文件分析
logwatch是CentOS预设的登录文件分析软件,没有安装的Linux版本可以自行安装,或者根据自己的实际需求撰写脚本来执行登录文件的分析
2577
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
