文章目录
日志管理
新版本Linux系统日志由rsyslogd服务管理
常见日志的作用(一般可以直接查看):
/var/log/cron
- 记录了系统定时任务的相关日志
/var/log/cups/
- 记录打印信息的日志
/var/log/dmesg
- 记录了系统开机内核自检的信息, 也可以使用
dmesg
命令查看
- 记录了系统开机内核自检的信息, 也可以使用
/var/log/btmp
- 记录错误失败登录的日志, 这是二进制文件不能直接查看, 需要使用
lastb
命令查看
- 记录错误失败登录的日志, 这是二进制文件不能直接查看, 需要使用
/var/log/lastlog
- 记录系统中所有用户最后一次登录时间的日志
- 二进制文件, 需要使用
lastlog
命令查看
/var/log/mailog
- 记录邮件信息
/var/log/message
- 记录系统重要信息的日志
- 记录Linux系统绝大多数重要信息, 如果系统出现问题, 首要检查这个文件
/var/log/secure
- 记录验证和授权方面的信息, 只要涉及账户和密码的程序都会记录
- 如系统登录, ssh登录, su切换用户, sudo授权, 添加/修改用户/密码
/var/log/wtmp
- 永久记录所有用户的登录,注销信息, 同时记录系统的启动,重启,关机事件
- 需要使用last命令查看
/var/log/utmp
- 记录当前已经登录用户的信息
- 这个文件会随着用户的登录和注销而不断变化, 只记录当前登录用户的信息
- 只能使用
w
,who
,users
等命令查看
- 除了系统默认日志, RPM包安装服务日志也会默认把日志记录在
/var/log/
目录- 源码包的服务日志在源码包的指定目录
- 这些日志不由rsyslogd管理
- 这些日志也基本符合rsyslogd日志的格式
rsyslogd服务
- 基本日志格式:
- 事件产生的时间
- 发生事件的服务器主机名
- 产生事件的服务名或程序名
- 事件的具体信息
/etc/rsyslog.conf
配置文件- 配置日志类型,记录等级,日志保存位置(可以发送到远程主机)
日志轮替
不对日志进行处理的话日志文件会越来越大,最后难以管理
日志轮替: 日志的切割和日志的替换
Linux系统自带日志轮替管理功能
- 日志文件的命名规则
- 如果配置文件中有
dateext
参数, 则日志会用日期文件后缀(常用) - 如果配置没有
dateext
参数, 则每次轮替时当前日志文件名不变, 日志会自动以后缀.n
数字递增的格式修改老日志文件
- 如果配置文件中有
- logrotate配置文件
/etc/logrotate.conf
daily
: 轮替周期是每天weekly
: 每周monthly
: 每月rotate 数字
: 保留的日志文件个数, 0表示没有compress
: 日志轮替时, 旧日志压缩create mode owner group
: 建立新日志, 同时指定其权限mode,所有者owner,所属组group, 如create 0600 u1 g1
mail 地址
: 日志轮替时输出内容通过邮件发送到指定地址missingok
: 如果日志不存在, 忽略该日志的警告信息notifempty
: 如果日志为空文件则不轮替minsize 大小
: 日志轮替的最小值大小, 只有到达最小值才会轮替, 否则时间到了也不轮替size 大小
: 日志按指定文件大小轮替, 不按时间dateext
: 使用日期作日志轮替文件后缀
- RPM包已经加入日志轮替服务, 只有使用源码包安装的服务日志需要手动加入
- 将源码包的日志文件写入logrotate配置文件即可