linux 日志治理
linux 日志文件是重要的零碎信息文件,其中记录了包含用户登录信息,系统启动信息,系统安全信息,邮件相干信息等各种服务相干信息在内的重要零碎事件。
1. 零碎要害日志
- /var/log/boot.log 系统启动日志
- /var/log/cron.log 记录零碎定时工作相干的日志
- /var/log/lasllog 记录零碎中所有用户最初一次登陆信息,文件以二进制流存储,须要应用 lasllog 命令查看
- /var/log/mailog 记录邮件信息的日志
- /var/log/message 记录零碎中绝大多数重要信息。
- /var/log/secure 记录验证和受权方面的信息
- /var/log/ulmp 记录以后用户的登陆信息,该日志须要应用 who,users 等命令查看
2. 日志治理
-
日志治理服务 rsyslogd
1. 查问日志服务是否启动 ps -aux | grep rsyslogd 2. 查问日志服务的自启动状态 systemctl list-unit-files | grep rsyslog -
例如开启定时工作治理日志
1. 编辑 /etc/rsyslog.d/50-default.conf 日志 将 #cron.* /var/log/cron.log 后面的 #去掉,保留退出 2. 重新启动 rsyslog service rsyslog restart -
日志配置文件 /etc/rsyslog.conf
- 编辑配置文件的格局为 *.* 寄存地位 ,第一个 * 代表日志类型,第二个 * 代表日志级别。
-
日志类型分为:
- auth ##pam 产生的日志
- authpriv ##ssh、ftp 等登录申请的验证信息
- cron ## 工夫工作相干
- kern ## 内核
- mail ## 邮件相干
- user ## 用户程序产生的相干信息
…
-
日志级别分为:debug、info、notice、warning、err、crit、alert、emerg、none
例如:cron.* /var/log/cron.log kern.* /var/log/kern.log mail.err /var/log/mail.err
3. 日志轮替
- 应用 logrotate 进行日志治理,配置文件为 /etc/logrotate.conf
- 当配置文件中有“dateext”参数时,日志会以日期作为命名格局,且不须要改名。
- 当配置文件中没有配置“dateext”参数时,日志文件就须要改名。例如当第一次日志轮替时,以后的“secure”日志会主动改名为“secure.1”,而后新建“secure”日志;当第二次日志轮替时,“secure.1”会改名为“secure.2”,以后的“secure”日志会主动改名为“secure.1”,而后新建“secure”日志,用以保留日志,以此类推。
-
/etc/logrotate.conf 简略剖析
# rotate log files weekly 每周对日志文件进行一次轮替 weekly # keep 4 weeks worth of backlogs 共保留 4 份日志文件 rotate 4 # create new (empty) log files after rotating old ones 创立新的空日志文件,在日志轮替后 create #应用日期作为日志轮替文件的后缀 dateext # uncomment this if you want your log files compressed 旧日志文件是否压缩 #compress # packages drop log rotation information into this directory