1、系统日志管理(rsyslog)
处理日志的进程:rsyslogd
此进程的作用有,处理绝大部分日志记录、系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息
[root@localhost ~]# ps aux | grep rsyslogd
root 1122 0.0 0.1 216400 4528 ? Ssl 22:06 0:00 /usr/sbin/rsyslogd -n
root 3141 0.0 0.0 112828 980 pts/0 R+ 22:13 0:00 grep --color=auto rsyslogd
1.1、常见的日志文件
- /var/log/messages(系统主日志文件)
tail -f /var/log/messages
(动态查看主日志文件底部)
[root@localhost ~]# tail -3 /var/log/messages
Apr 17 22:10:28 localhost systemd-logind: New session 7 of user root.
Apr 17 22:11:01 localhost systemd: Started Session 8 of user root.
Apr 17 22:15:10 localhost journal: clutter_actor_get_parent: assertion 'CLUTTER_IS_ACTOR (self)' failed
- /var/log/secure(认证,安全文件)
- /var/log/yum.log(yum 日志文件)
- /var/log/maillog(邮件相关文件)
- /var/log/cron(进程相关文件)
1.2、rsyslogd 配置
具体步骤
- 第一步: 安装程序(
yum install rsyslog logrotate
) - 第二步:启动程序(
systemctl start rsyslog.service
) - 第三步:查询程序(
rpm -qc rsyslog
)
[root@localhost ~]# rpm -qc rsyslog
/etc/logrotate.d/syslog # 和日志轮转(切割)相关
/etc/rsyslog.conf # rsyslogd 的主配置文件(关键)
/etc/sysconfig/rsyslog # rsyslogd 相关文件, 定义级别(了解一下)
主配置文件(告诉此进程什么文件应该存到什么位置)
# vim /etc/rsyslog.conf
Rules
- 一套生成日志,以及存储日志的策略
- RULES 即规则,由三部分组成(由设备 + 级别 + 存放位置)
- RULES 由 FACILITY + LEVEL + FILE 组成
authpriv.* /var/log/secure(SSH信息)
mail.* -/var/log/maillog(发邮件)
# 这里有一个 - 符号, 表示是使用异步的方式记录, 因为日志一般会比较大
cron.* /var/log/cron(创建任务)