Linux日志管理

日志管理

新版本Linux系统日志由rsyslogd服务管理
常见日志的作用(一般可以直接查看)：

1. /var/log/cron
   • 记录了系统定时任务的相关日志
2. /var/log/cups/
   • 记录打印信息的日志
3. /var/log/dmesg
   • 记录了系统开机内核自检的信息, 也可以使用dmesg命令查看
4. /var/log/btmp
   • 记录错误失败登录的日志, 这是二进制文件不能直接查看, 需要使用lastb命令查看
5. /var/log/lastlog
   • 记录系统中所有用户最后一次登录时间的日志
   • 二进制文件, 需要使用lastlog命令查看
6. /var/log/mailog
   • 记录邮件信息
7. /var/log/message
   • 记录系统重要信息的日志
   • 记录Linux系统绝大多数重要信息, 如果系统出现问题, 首要检查这个文件
8. /var/log/secure
   • 记录验证和授权方面的信息, 只要涉及账户和密码的程序都会记录
   • 如系统登录, ssh登录, su切换用户, sudo授权, 添加/修改用户/密码
9. /var/log/wtmp
   • 永久记录所有用户的登录,注销信息, 同时记录系统的启动,重启,关机事件
   • 需要使用last命令查看
10. /var/log/utmp
    • 记录当前已经登录用户的信息
    • 这个文件会随着用户的登录和注销而不断变化, 只记录当前登录用户的信息
    • 只能使用w, who, users等命令查看
11. 除了系统默认日志, RPM包安装服务日志也会默认把日志记录在/var/log/目录
    • 源码包的服务日志在源码包的指定目录
    • 这些日志不由rsyslogd管理
    • 这些日志也基本符合rsyslogd日志的格式

rsyslogd服务

1. 基本日志格式:
   • 事件产生的时间
   • 发生事件的服务器主机名
   • 产生事件的服务名或程序名
   • 事件的具体信息
2. /etc/rsyslog.conf配置文件
   • 配置日志类型,记录等级,日志保存位置(可以发送到远程主机)

日志轮替

不对日志进行处理的话日志文件会越来越大,最后难以管理
日志轮替: 日志的切割和日志的替换
Linux系统自带日志轮替管理功能

1. 日志文件的命名规则
   • 如果配置文件中有dateext参数, 则日志会用日期文件后缀(常用)
   • 如果配置没有dateext参数, 则每次轮替时当前日志文件名不变, 日志会自动以后缀.n数字递增的格式修改老日志文件
2. logrotate配置文件/etc/logrotate.conf
   • daily : 轮替周期是每天
   • weekly: 每周
   • monthly: 每月
   • rotate 数字: 保留的日志文件个数, 0表示没有
   • compress: 日志轮替时, 旧日志压缩
   • create mode owner group: 建立新日志, 同时指定其权限mode,所有者owner,所属组group, 如create 0600 u1 g1
   • mail 地址: 日志轮替时输出内容通过邮件发送到指定地址
   • missingok: 如果日志不存在, 忽略该日志的警告信息
   • notifempty: 如果日志为空文件则不轮替
   • minsize 大小: 日志轮替的最小值大小, 只有到达最小值才会轮替, 否则时间到了也不轮替
   • size 大小: 日志按指定文件大小轮替, 不按时间
   • dateext: 使用日期作日志轮替文件后缀
3. RPM包已经加入日志轮替服务, 只有使用源码包安装的服务日志需要手动加入
   • 将源码包的日志文件写入logrotate配置文件即可

---

其它

Linux服务管理 => 传送门
Linux用户权限 => 传送门