linux日志分析步骤,Linux logrotate执行流程分析

最新推荐文章于 2024-06-22 20:47:48 发布
最新推荐文章于 2024-06-22 20:47:48 发布
阅读量542 收藏 1
点赞数
文章标签: linux日志分析步骤

1. 前言

最近在看logrotate使用,现将一些问题和分析过程记录下.

内核版本和系统信息如下:

Linux xxx 4.10.0-37-generic #41~16.04.1-Ubuntu SMP Fri Oct 6 22:42:59 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

不同版本的不同软件配置信息可能会有差异

2. 基本使用

logrotate基本的使用的流程如下:

创建一个logrotate配置文件

将文件放到/etc/logrotate.d目录下

拿一个官方文档的示例,具体配置不在这里展开,如下:

# sample logrotate configuration file

compress

/var/log/messages {

rotate 5

weekly

postrotate

/usr/bin/killall -HUP syslogd

endscript

}

3. 问题

为什么只要将logrotate配置文件放在logrotate.d下面就会自动执行?

具体什么时候执行呢?

4. 分析

既然跟logrotate命令有关,那就使用man logrotate查看下详情:

1 LOGROTATE(8) System Administrator's Manual LOGROTATE(8)

2

3 NAME

4 logrotate ‐ rotates, compresses, and mails system logs

5

6 SYNOPSIS

7 logrotate [-dv] [-f|--force] [-s|--state file] config_file ..

8

9 DESCRIPTION

10 logrotate is designed to ease administration of systems that generate large numbers of log files.

11 It allows automatic rotation, compression, removal, and mailing of log files. Each log file may be

12 handled daily, weekly, monthly, or when it grows too large.

13

14 Normally, logrotate is run as a daily cron job. It will not modify a log more than once in one day

15 unless the criterion for that log is based on the log's size and logrotate is being run more than

16 once each day, or unless the -f or --force option is used.

可以看到第14行中的: Normally, logrotate is run as a daily cron job,表示logrotate一般是以一个cron job的形式每天执行,而cron的每天任务是放在/etc/cron.daily目录下的,查看该目录:

kk:~$ ll /etc/cron.daily

total 68

drwxr-xr-x 2 root root 4096 10月 10 22:48 ./

drwxr-xr-x 138 root root 12288 10月 25 20:20 ../

-rwxr-xr-x 1 root root 311 12月 29 2014 0anacron*

-rwxr-xr-x 1 root root 372 5月 6 2015 logrotate*

发现该目录下有个logrotate文件,里面内容如下:

1 #!/bin/sh

2

3 # Clean non existent log file entries from status file

4 cd /var/lib/logrotate

5 test -e status || touch status

6 head -1 status > status.clean

7 sed 's/"//g' status | while read logfile date

8 do

9 [ -e "$logfile" ] && echo "\"$logfile\" $date"

10 done >> status.clean

11 mv status.clean status

12

13 test -x /usr/sbin/logrotate || exit 0

14 /usr/sbin/logrotate /etc/logrotate.conf

重点在14行: /usr/sbin/logrotate /etc/logrotate.conf. 打开/etc/logrotate.conf:

1 # see "man logrotate" for details

-----------------------------------------------------------skip----------------------------------------------------------------

18 # packages drop log rotation information into this directory

19 include /etc/logrotate.d

-----------------------------------------------------------skip----------------------------------------------------------------

在第19行看到:include /etc/logrotate.d. 根据include指令的定义,该指令后面所跟的路径的文件会被按顺序读取(除了路径和特殊文件),这样可以解释问题1了.

但是还不完整,现在要找的是这个cron.daily下面的文件什么在哪里被使用到. 使用man cron查看说明:

1 CRON(8) System Manager's Manual CRON(8)

-----------------------------------------------------------skip----------------------------------------------------------------

35 NOTES

36 cron searches its spool area (/var/spool/cron/crontabs) for crontab files (which are named after accounts in

37 /etc/passwd); crontabs found are loaded into memory. Note that crontabs in this directory should not be

38 accessed directly - the crontab command should be used to access and update them.

39

40 cron also reads /etc/crontab, which is in a slightly different format (see crontab(5)). In Debian, the con‐

41 tent of /etc/crontab is predefined to run programs under /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly

42 and /etc/cron.monthly. This configuration is specific to Debian, see the note under DEBIAN SPECIFIC below.

43

44 Like /etc/crontab, the files in the /etc/cron.d directory are monitored for changes. In general, the system administrator should not use /etc/cron.d/, but use the standard system

45 crontab /etc/crontab.

100 DEBIAN SPECIFIC

-----------------------------------------------------------skip-----------------------------------------------------------------

124 Support for /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly and /etc/cron.monthly is provided in Debian

125 through the default setting of the /etc/crontab file (see the system-wide example in crontab(5)). The default

126 system-wide crontab contains four tasks: run every hour, every day, every week and every month. Each of these

127 tasks will execute run-parts providing each one of the directories as an argument. These tasks are disabled if

128 anacron is installed (except for the hourly task) to prevent conflicts between both daemons.

可以看到第40到45行说cron默认会读取/etc/crontab和/etc/cron.d下面的文件(mark一下,下文有用到),先看下/etc/crontab:

# /etc/crontab: system-wide crontab

# Unlike any other crontab you don't have to run the `crontab'

# command to install the new version when you edit this file

# and files in /etc/cron.d. These files also have username fields,

# that none of the other crontabs do.

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user command

17 * * * * root cd / && run-parts --report /etc/cron.hourly

25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )

52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )

发现有执行cron.daily,在每天的6:25.但是由于本机是ubuntu,属于DEBIAN分支,看下DEBIAN SPECIFIC,发现第127到128行又说These tasks are disabled if anacron is installed(except for the hourly task),查看下:

kk:~$ dpkg -l | grep anacron

ii anacron 2.3-23 amd64 cron-like program that doesn't go by time

既然anacron有安装,那/etc/crontab的cron.daily就要被disable了,那只能看anacron了,使用man anacron:

1 ANACRON(8) Anacron Users' Manual ANACRON(8)

2

-----------------------------------------------------------skip----------------------------------------------------------------

15

16 When executed, Anacron reads a list of jobs from a configuration file, normally /etc/anacrontab (see anacrontab(5)). This file contains the list of jobs that Anacron controls.

17 Each job entry specifies a period in days, a delay in minutes, a unique job identifier, and a shell command.

从第16行中可以看到anacron的默认配置文件为/etc/anacrontab,看下:

1 # /etc/anacrontab: configuration file for anacron

2

3 # See anacron(8) and anacrontab(5) for details.

4

5 SHELL=/bin/sh

6 PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

7 HOME=/root

8 LOGNAME=root

9

10 # These replace cron's entries

11 1 5 cron.daily run-parts --report /etc/cron.daily

12 7 10 cron.weekly run-parts --report /etc/cron.weekly

13 @monthly 15 cron.monthly run-parts --report /etc/cron.monthly

第11行中的1表示一天执行一次,5表示延迟5分钟

终于在第11行看到cron.daily了,那anacron又是何时执行呢?上文在讲cron默认读取的文件时,除了/etc/crontab之外,还会读取/etc/cron.d/下的文件,将该目录列出:

keith@keith-desktop:/etc$ ll /etc/cron.d

total 28

drwxr-xr-x 2 root root 4096 2月 16 2017 ./

drwxr-xr-x 138 root root 12288 10月 25 20:20 ../

-rw-r--r-- 1 root root 244 12月 29 2014 anacron

发现有个anacron文件,查看下:

# /etc/cron.d/anacron: crontab entries for the anacron package

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

30 7 * * * root test -x /etc/init.d/anacron && /usr/sbin/invoke-rc.d anacron start >/dev/null

可以看到anacron的执行时间为每天的7:30分,这当然是不关机的情况,但如果超过这个点才开机呢?看下开机启动项有没有:

kk:~$ ll /etc/init.d | grep anacron

-rwxr-xr-x 1 root root 2014 12月 29 2014 anacron*

果然有,那就说明它有两种启动方式,一种是开机自启,一种是/etc/cron.d/anacron中编排的. 但是现在又有一个问题,既然都开机自启了,再在cron中编排时间有什么意义呢?打开看下:

1 #! /bin/sh

2 ### BEGIN INIT INFO

3 # Provides: anacron

4 # Required-Start: $remote_fs $syslog $time

5 # Required-Stop: $remote_fs $syslog $time

6 # Default-Start: 2 3 4 5

7 # Default-Stop:

8 # Short-Description: Run anacron jobs

9 # Description: The first purpose of this script is to run anacron at

10 # boot so that it can catch up with missed jobs. Note

11 # that anacron is not a daemon. It is run here just once

12 # and is later started by the real cron. The second

13 # purpose of this script is that said cron job invokes

14 # this script to start anacron at those subsequent times,

15 # to keep the logic in one place.

16 ### END INIT INFO

17

18 PATH=/bin:/usr/bin:/sbin:/usr/sbin

19

20 test -x /usr/sbin/anacron || exit 0

21 test -r /etc/default/anacron && . /etc/default/anacron

-----------------------------------------------------------skip----------------------------------------------------------------

上面说anacron不是一个后台进程,开机自启的目的是为了把遗漏的任务给补上,运行完任务后就退出了,在本次开机后的下一次执行任务就要由cron来编排了,这么说就清楚了. 那么logrotate配置文件的执行时间就是开机时间+延时时间或者7:30加延时时间.

流程总结如下:

23b49d149426

logrotate配置文件执行流程 (1).png

是否安装anacron的检查由cron来执行

默认anacron有安装就有设置开机自启

5. 总结

最后回答刚开始提出的问题

为什么只要将logrotate配置文件放在logrotate.d下面就会自动执行? 这个可以上述分析和流程图.

具体什么时候执行呢? 如果anacron有安装,则在刚开机时如果条件满足则是开机时间+延时时间,如果是已经开机后条件满足则是/etc/cron.d/anacron中编排的时间+延时时间;如果没有安装,则时间为/etc/crontab中编排的时间.

注:

以上的分析是跟操作系统有关系的

anacrontab中的还有会影响执行时间的因素如:RANDOM_DELAY等,这里不深究了.

真是刚开始只是一些小小的问题, 如果要深究的话真的会发现一串一串的新东西跑出来. 擦码到现在发现都凌晨了,我还计划最迟9点能搞定然后...never mind.

第牛惹急了
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux使用logrotate管理日志
qfzhaohan的博客
11-10 569
CentOS7管理项目日志 1,正常项目来说,每天都产生新的日志信息,但是如果任其增长的话,可能造成存储空间不够,排查线上问题困难;所以我们需要管理我们的日志文件,方便排雷和合理利用服务器存储空间 2,用shell连接服务器后,通过Xftp 上传项目包到服务器后,我是后台启动的 java -jar xx.jar/xx.war > /xx/xx/xx.log & :后台启动项目并打印日志到/xx/xx/xx.log文件内 此时,对xx.log进行管理, [root@localhos
简单的日志分析流程
super__dreamer的博客
09-16 1400
简单的日志分析流程 使用Flume采集数据到HDFS上 对数据进行清洗(可以使用MapReduce程序来清洗) 在Hive上创建相应的表加载清洗后的数据,然后使用Hive对清洗后的数据进行多维分析 把Hive分析得出的结果通过Sqoop导出到Mysql中 提供视图工具供用户使用(可以自己写Web程序来访问Mysql) 备注:这边的日志分析最好通过写shell程序结合定时器crontab来完成。不可能
日志轮转—cron和logrotate
最新发布
Sheng_Q的博客
06-22 2097
本文介绍如何基于linux系统的cron和logrotate实现日志轮转。cron是一个定时任务管理器,根据配置定时触发任务;logrotate是一个日志轮转工具,根据配置处理日志,logrotate依赖于cron的定时触发。cron是linux系统自带的执行定时任务的工具。cron有3个概念需要区分:cron代表这个软件,crond代表实际运行的进程,crontab用于修改配置文件的客户端工具。cron的核心是配置文件,crond每分钟读取并比较配置文件时间戳,以确认是否有修改。
分析日志的流程
zizizizizi_的博客
03-21 6050
Web日志分析常见方法工具 1.编码 某web日志 URL 编码 BASE64编码 16进制编码(以\x开头) utf-8编码 字符集 Unicode(以\u、\u+、&#x、&#开头),gb2312,gbk 2.利用解码工具 http://www.mxcz.net/tools/Hex.aspx(推荐) 该网站能够支持多种编码,包括base64、url、unicode、UTF-8、GB2312、GBK、16进制等 3.数据提交方式 GET . POST . COOKIE 4.还原日志
日志分析大致流程
weixin_33712881的博客
09-16 1706
简单概述:生产过程中生成大量的系统日志,应用程序日志,安全日志等等,通过对日志的分析可以了解服务器的负载,健康状况,可以分析客户的分布情况,客户的行为,甚至基于这些分析可以做出预测。 一般采集流程:日志产出 ——>采集——>储存——>分析——>储存——>可视化 数据提取:由于日志文件基本都以文本形式产出,所以对日志的分析基本就是对文本的字符串进行分析。所以我们需将文...
log日志分析步骤
Gru的博客
03-09 3286
cd logs 大数据组件的日志文件分为两种.log .out ,.out 不看 hadoop-hadoop-datanode-hadoop002.log hadoop-用户-----进程名称-----机器名称 (hadoop其实是hdfs,yarn代表yarn) ll -h 查看文件详细信息和大小 vi + log名字 : / ERROR 查找后,然后按n向下 N向上 tail -20...
Linux下apache日志分析与状态查看方法
09-15
Linux环境中,Apache服务器是广泛使用的Web服务器,其日志分析和状态查看对于监控服务器性能、排查问题至关重要。本文将详细介绍如何使用Linux命令行工具来分析Apache日志和查看服务器状态。 1. 查找访问次数最多...
linux的所有日志,linux有哪些日志
11-11
同时,日志文件的管理和分析也可以借助工具,如logrotate用于定期轮换日志,logwatch用于定期分析和报告日志信息。在处理日志时,要注意保护敏感信息,避免泄露用户的隐私数据。通过合理配置日志级别和使用日志管理...
Centos7配置logrotate执行Tomcat日志轮转
11-06
下面我们将详细探讨如何配置`logrotate`来执行Tomcat的日志轮转。 首先,日志轮转的主要目的是为了保持日志文件的合理大小,以便于存储和分析。Tomcat服务器的默认日志文件`catalina.out`就是一个典型的例子,随着...
日志切割之Logrotate1
08-03
《日志切割之Logrotate1——Linux日志管理利器》 日志文件在Linux系统中扮演着至关重要的角色,它们记录了系统运行过程中的各种事件,对故障排查和性能分析至关重要。然而,随着服务器的繁忙运行,日志文件的大小...
系统安全中Linux日志的实用研究.pdf
09-07
Linux日志系统详解】 日志系统在Linux操作系统中扮演着至关重要的角色,它是系统运行的历史记录,通过分析日志,管理员可以迅速发现系统错误、潜在的入侵行为,从而提高系统的安全性。本文主要探讨如何在系统安全...
日志流程
Hibernate4Spring的专栏
11-25 427
0.日志流程:日志产生-->日志采集-->日志传输-->日志存储-->日志分析-->日志可视化 1.任务小日志,提供日志结果下载; 1.1 日志文件命名规范; 1.2 日志打印规范 1.3 2.日志集中存储:ELK 3.日志可视化: 3.1 web页面查询error; 3.2 任务流模拟 4.日志分类:系统日志,程序日志,事件 5.日志选型: 6...
使用logrotate来管理日志
熊诗言的博客
04-07 961
日志文件包含了关于系统中发生的事件的有用信息,在排障过程中或者系统性能分析时经常被用到。对于忙碌的服务器,日志文件大小增长极快,服务器很快消耗磁盘空间,这成了个问题。除此之外,处理一个单个的庞大日志文件也常常是件十分棘手的事。 logrotate是个十分有用的工具,它可以自动对日志进行截断(或轮循)、压缩以及删除旧的日志文件。例如,你可以设置logrotate,让/var/log/foo日志文...
应急响应处置现场流程 - 日志分析08
战神/calmness的博客
02-05 3122
应急响应处置现场流程 - 日志分析 1.Windows系统 1)日志概述在Windows系统中,日志文件包括:系统日志、安全性日志及应用程序日志,对于应急响应工程师来说这三类日志需要熟练掌握,其位置如下。 在Windows 2000 专业版/Windows XP/Windows Server 2003(注意日志文件的后缀名是evt): 系统中:系统日志的位置为C:\WINDOWS\System32\config\SysEvent.evt; 安全性日志的位置为C:\WINDOWS\Syste.
使用logrotate 管理日志文件 (Linux相关)
cjwid的专栏
06-25 643
使用logrotate 管理日志文件 (Linux相关)   对于Linux 的系统安全来说,日志文件是极其重要的工具。 系统管理员可以使用logrotate 程序用来管理系统中的最新的事件。 logrotate 还可以用来备份日志文件,本篇将通过以下几
logrotate mysql_使用logrotate对MySQL指定日志文件执行按天轮转备份
weixin_29821223的博客
01-19 132
根据自己的需要可以对MySQL的相关日志文件(错误日志、通用查询日志文件和慢查询日志文件)进行按天的转储,并只保留指定天数的备份文件,下面是一个例子:1)、安装 crond 服务 (如果未安装yum install logrotate crontabs)rpm -qa | grep crontabsyum install crontabschkconfig crond --list ...
Linux logrotate命令教程:如何轻松管理你的系统日志文件(附实例详解和注意事项)
u012964600的博客
05-12 827
logrotateLinux系统中的日志管理工具,它可以自动地轮换、压缩、删除和邮件系统日志文件。logrotate可以处理任何你想要的日志文件,并且不需要修改日志生成的方式。
Linux日志管理神器logrotate
younglishun的博客
07-06 610
logrotate 是一个 Bash 的 SHELL 脚本,可对日志文件进行切分,并将切分后的日志放在统一目录。logrotate配置文件参数解释:daily/weekly/monthly/yearly:转储周期,每天、每周、每月、每年,任选其一,一般都是以”天“为周期 rotate 12:保留12个历史log版本 dateext:切割后的log文件以当前日期格式结尾(即xxx.log-20190401),如果注释掉,则是以数字方式递增结尾(即xxx.log.1) compress:使用gzip压缩转储后的
护网日志分析基础
m0_59302403的博客
07-10 1915
简要介绍日志分析,给出日志分析步骤和思路。要求根据日志中的字符串特征,识别攻击者的攻击工具;根据日志中的行为特征,确定攻击者可能的攻击手段等。总结归纳护网中常见的中间件Tomcat、Apache、Weblogic、Nginx、Apache、IIS、MySQL、SQL Server、Oracle的日志路径和日志配置文件路径等。
Linux系统日志管理与常用文件详解
Linux日志管理是系统监控和故障排查的重要手段,因为它们提供了系统运行状态的详细记录。在Linux中,所有的日志信息都以明文形式存储在/var/log目录下,这个目录通常由root用户管理,但可以通过调整权限让其他用户也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值