Linux日志管理

Linux日志管理：

• rsyslog 系统日志管理
• logrotate日志轮转

---

rsyslog部分：
rsyslog是系统专职日志程序，处理绝大部分日志记录，记录系统操作有关的信息。
（此外处理日志的进程除了rsyslog外，还有各类应用程序）

观察rsyslogd程序：
命令：ps aux |grep rsyslogd

[root@localhost ~]# ps aux |grep rsyslogd
root       1049  0.0  0.5 214452  5252 ?        Ssl  21:58   0:00 /usr/sbin/rsyslogd -n
//进程号1049 

关于syslogd配置：
相关程序的安装:yum install rsyslog logrotate
启动该程序：systemctl start rsyslog.service
查询：rpm -qc rsyslog
//-q 查询 -c相关的配置文件

[root@localhost ~]# rpm -qc rsyslog
/etc/logrotate.d/syslog        //子配置文件，与第二部分日志轮转有关
/etc/rsyslog.conf              //主配置文件***** 
/etc/sysconfig/rsyslog         //rsyslogd相关文件，定义级别
 

其中的rsyslogd程序主配置文件很重要：/etc/rsyslog.conf
观察主配置文件：
tail /etc/rsyslog.conf
观看其中的规则部分：

   # ###begin forwarding rule ###        //规则
   # The statement between the begin ... end define a SINGLE forwarding
   # rule. They belong together, do NOT split them. If you create multiple
   # forwarding rules, duplicate the whole block!
   # Remote Logging (we use TCP for reliable delivery)
   # An on-disk queue is created for this action. If the remote host is
   # down, messages are spooled to disk and sent when it is up again.
   #$ActionQueueFileName fwdRule1 # unique name prefix for spool    files
  #$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)

rsyslogd主配置文件中，规则：
RULES：生成日志，以及存储日志的策略。
语法结构： 设备FACILITY .级别LEVEL 文件位置FILE

例如：
authpriv.* /var/log/secure（SSH信息）
mail.* -/var/log/maillog（发邮件）
cron.* /var/log/cron（创建任务）

设备FACILITY是对某类型事件的定义

设备类型：
       

 1. LOG_SYSLOG -----------syslogd产生的日志
 2. LOG_AUTHPRIV----------安全认证的日志
 3. LOG_CRON--------------计划任务at || cron的日志
 4. LOG_MAIL------------- 邮件系统mail subsystem的日志
 5. LOG_USER(default)-----用户相关的日志
 6. LOG_DAEMON -----------后台进程的日志
 7. LOG_FTP --------------FTP产生的日志
 8. LOG_KERN------------- 内核kernel产生的日志
 9. LOG_LPR --------------打印设备产生的日志

级别类型：
 
（级别又高到低，信息由少到多）
 1. LOG_EMERG-------------紧急，致命，服务无法继续使用运行,例如配置文件丢失 
 2. LOG_ALERT-------------报警，需要立即处理，例如磁盘空间快满了95%
 3.LOG_CRIT---------------致命行为
 4.LOG_ERR----------------错误行为
 5.LOG_WARNNING-----------警告信息
 6.LOG_NOTICE-------------普通，重要的标准信息
 7.==LOG_ALERT==----------标准信息
 8.LOG_DEBUG--------------调试信息，排错所需

logrorate日志轮转：
在rsyslogd的主配置文件中有：
主文件 /etc/logrorate.conf
子配置文件夹 /etc/logrorate.d
观察主文件和子文件

1|[root@qianfeng ~]# ls /etc/logrotate.conf /etc/logrotate.d/
2|/etc/logrotate.conf
3|/etc/logrotate.d/:
4|acpid cups iscsiuiolog ppp rpm subscription-manager up2date 5|wpa_supplicant
5|conman httpd mgetty psacct setroubleshoot syslog vsftpd.log yum

主配置文件：

=========全局设置==========
weekly        //轮转周期，一周轮转
rotate 4      //保留4份
create        //轮转后创建新文件
dateext      //使用日期作为后缀
compress    //是否压缩
include /etc/logrotate.d //包含该目录下的子配置文件

#对单个日志文件设置

/var/log/wtmp { 
monthly     //一月轮转一次
minsize 1M   //最小达到1M才轮转,monthly and  minsize
create 0664 root utmp  //轮转后创建新文件，并设置权限
rotate 1   //保留一份
}

我更改时在子配置文件文件中修改规则：

1. 设置YUM日志轮转。
2. 命令： var /etc/logrotate.d/yum更改配置文件：

保存三份验证：