Linux日志管理

Linux日志管理

常用的日志文件：

# ls /var/log/

# tail /var/log/messages //系统主日志文件

# tail -20 /var/log/messages

# tail -f /var/log/messages //动态查看日志文件的尾部（tailf == tail -f)

# tailf /var/log/secure //认证、安全

# tail /var/log/maillog //跟邮件(sendmail,postfix)相关

# tail /var/log/cron //crond、at进程产生的日志

# tail /var/log/dmesg //和系统启动相关

# tail /var/log/audit/audit.log //系统审计日志

# tail /var/log/yum.log //yum

# tail /var/log/mysqld.log //MySQL

# tail /var/log/httpd/access_log //Apache

# tail /var/log/xferlog //和访问FTP服务器相关

# w //当前登录的用户 /var/log/wtmp

# last //最近登录的用户 /var/log/btmp

# lastlog //所有用户的登录情况 /var/log/lastlog

rsyslogd 子系统

级别level syslogd 遇到何种情况（正常、错误）才会记录日志

LOG_EMERG 紧急，致命，服务无法继续运行，如配置文件丢失

LOG_ALERT 报警，需要立即处理，如磁盘空使用95%

LOG_CRIT 致命行为

LOG_ERR 错误行为

LOG_WARNING 警告信息

LOG_NOTICE 普通

LOG_INFO 标准信息

LOG_DEBUG 调试信息，排错所需，一般不建议使用（数据量太大）

集中式日志管理

就是将一些主机的日志记录到一台日志服务器中，一般没什么卵用，因为一般用的都是ELK来管理，这个知道了解就行

==日志服务器（开启接收功能）

[[email protected] ~]# vim /etc/rsyslog.conf

# Provides UDP syslog reception #使用UDP，文件下面还有个TCP

$ModLoad imudp.so

$UDPServerRun 514

[[email protected] ~]# service rsyslog restart

[[email protected] ~]# netstat -tunlp |grep :514

udp 0 0 0.0.0.0:514 0.0.0.0:* 13096/rsyslogd

udp 0 0 :::514 :::* 13096/rsyslogd

[[email protected] ~]# tcpdump -i eth0 -nn 'port 514'

[[email protected] ~]# tail -f /var/log/secure

==日志客户端

[[email protected] ~]# vim /etc/rsyslog.conf

authpriv.* @192.168.10.240 #客户端把认证日志信息使用UDP发送给日志服务器，

@ 为UDP，@@ 为TCP

[[email protected] ~]# service rsyslog restart

 

日志轮转：logrotate

1. 如果没有日志轮转，日志文件会越来越大

2. 将丢弃系统中最旧的日志文件，以节省空间

3. logrotate本身不是系统守护进程，它是通过计划任务crond每天执行

logrotate 配置文件：

/etc/logrotate.conf (决定每个日志文件如何轮转)

/etc/logrotate.d/*

主配置文件：

[[email protected] ~]# vim /etc/logrotate.conf
=========全局设置==========
weekly //轮转的周期，一周轮转
rotate 4 //保留4份
create //轮转后创建新文件
dateext //使用日期作为后缀
#compress //是否压缩
include /etc/logrotate.d //包含该目录下的文件

/var/log/wtmp { //对该日志文件设置轮转的方法
monthly //一月轮转一次
minsize 1M //最小达到1M才轮转
create 0664 root utmp //轮转后创建新文件，并设置权限
rotate 1 //保留一份
}

/var/log/btmp {
missingok //丢失不提示
monthly //每月轮转一次
create 0600 root utmp //轮转后创建新文件，并设置权限
rotate 1 //保留一份
}