一、Linux中的日志。
1.简介:从CentOS6.x开始,rsyslog日志服务已经取代了syslog日志服务。一般日志放在/var/log 下
2.默认日志服务是开启并自启动的。
查看是否启动:ps aux |grep rsyslog
查看是否自启动:chkconfig --list |grep rsyslog
3.常见系统默认日志存放位置及作用
/var/log/cron 记录了系统定时任务的相关日志
/var/log/cups 记录了打印日志
/varlog/dmesg 记录了系统在开机时的内核自检信息,也可以通过dmesg命令查看
/var/log/btmp 记录了错误登录日志,这个是二进制文件,不能vi查看,需要通过lastb命令查看
注意:这里代表有人通过ssh登录root用户报错,地址跟时间如上。
/var/log/lastlog 记录系统中最后一次登录的系统日志,注意这里也是二进制文件要用lastlog命令查看。
注意:这里会显示你的所有用户,这台机器很多用户都没登录过,只有root登录了,所以抬头有显示root登录的信息
/var/log/maillog 记录邮件日志
/var/log/message 记录重要信息日志,这个文件记录了绝大多数重要信息,系统有问题可以首位分析
/var/log/source 记录授权信息,如ssh登录,su切换用户
/var/log/wtmp 记录所有用户的登录。注销信息和所有关机、开机、重启事件。同样是二进制文件,用last来查看。
/var/run/utmp 记录已经登录的用户信息,会随着用户注销而变化。同样不能直接查看,通过w、who、users。
4.除了系统默认日志之外,采用rpm包安装的软件,在/var/log/下也会有日志文件,但是不归rsyslog管。位置为:/var/log/服务名
举例:apache的日志存放位置:/var/log/httpd
二、rysylog日志服务
1.日志文件格式
①时间产生时间
②发生事件的服务器的主机名
③发生事件的服务名或者程序名
④事件的具体信息
时间 主机名 服务名 事件
2./etc/rsyslog.conf 配置文件
2.日志的轮替
命令:logrotate 【选项】配置文件名 注意:这里的配置文件其实就一个,也就是 logrotate 【选项】 /etc/logrotate.conf
-v:显示轮替过程
-f:强制轮替
轮替配置文件:/etc/logrotate.conf
