linux日志

linux日志管理

一、日志文件位置

 

 二、日志服务rsysogd

日志格式等级： 日志服务 [连接符号] 日志等级 　　日志记录位置

 

 日志记录位置：

　　（1）绝对路径　　

　　（2）系统设备文件

　　（3）远程主机：可以选择TCP协议和UDP协议传输日志信息。

　　　　　　UDP : “@192.168.0.210:514”

　　　　　　TCP :  “@@192.168.0.210:514”

　　（4）用户名，mail.* * 把所有级别的日志发送给所有在线用户，如果发送给多个用户，用户名之间用 “，”分割。

·　　日志等级为“none”，或者日志记录位置为“~”，代表不会记录。

主配置文件 ：/etc/rsyslog.conf 配置文件的内容

[root@localhost ~]# vi /etc/rsyslog.conf
#查看配置文件的内容
# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####
#加载模块
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
#加载 imuxsock 模块，为本地系统登录提供支持
$ModLoad imklog # provides kernel logging support (previously done by rklogd)
#加载 imklog 模块，为内核登录提供支持
#$ModLoad immark # provides --MARK-- message capability
#加载 immark 模块，提供标记信息的能力
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
#加载 UPD 模块，允许使用 UDP 的 514 端口接收采用 UDP 协议转发的日志
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
#加载 TCP 模块，允许使用 TCP 的 514 端口接收采用 TCP 协议转发的日志
#### GLOBAL DIRECTIVES ####
#定义全局设置
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#定义日志的时间使用默认的时间戳格式
# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on
#文件同步功能。默认没有开启，是注释的。
# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
#包含/etc/rsyslog.d/目录中所有的“.conf”子配置文件。也就是说这个目录中的所有
#子配置文件也同时生效。
#### RULES ####
#日志文件保存规则
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
#kern 服务.所有日志级别 保存在/dev/console
#这个日志默认没有开启，如果需要，则取消注释
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
#所有服务.info 以上级别的日志保存在/var/log/messages 日志中。
#mail，authpriv，cron 的日志不记录在/var/log/messages 日志文件中，因为它们都有自己的日志文件。
#所以/var/log/messages 日志是最重要的系统日志文件，需要经常查看！
# The authpriv file has restricted access.
authpriv.* /var/log/secure
#用户认证服务所有级别的日志保存在/var/log/secure 日志中
# Log all the mail messages in one place.
mail.* -/var/log/maillog
#mail 服务的所有级别的日志保存在/var/log/maillog 日志中。
#“-”号的含义是日志先在内存之中保存，当日志够多之后，再向文件中保存。
# Log cron stuff
cron.* /var/log/cron
#计划任务的所有日志保存在/var/log/cron 日志中
# Everybody gets emergency messages
*.emerg *
#所有日志服务的疼痛等级日志对所有在线用户广播。
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
#uucp 和 news 日志服务的 crit 以上的日志保存在/var/log/sppoler 日志文件中。
# Save boot messages also to boot.log
local7.* /var/log/boot.log
#loacl7 日志服务的所有日志写入/var/log/boot.log 日志中。
#会把开机时的检测信息在显示到屏幕的同时，写入/var/log/boot.log 日志中
# ### begin forwarding rule ###
#定义转发规则
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$WorkDirectory /var/lib/rsyslog # where to place spool files
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList # run asynchronously
#$ActionResumeRetryCount -1 # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ##

定义自己的日志

[root@localhost ~]# vi /etc/rsyslog.conf
#写入一下一句话
*.crit /var/log/alert.log
#把所有服务的“临界点”以上的错误都保存在/var/log/alert.log 日志中
[root@localhost ~]# service rsyslog restart
关闭系统日志记录器： [确定]
启动系统日志记录器： [确定]
#重启 rsyslog 服务
[root@localhost ~]# ll /var/log/alert.log

三、日志轮替

1、日志文件的命名规则

　　主要依靠 /etc/logrotate.conf 配置文件中“dateext”参数：

2、logrotate 配置文件

# no packages own wtmp and btmp -- we'll rotate them here
#以下两个轮替日志有自己的独立参数，如果和默认的参数冲突，则独立参数生效。
/var/log/wtmp {
#以下参数仅对此目录有效
monthly
#每月对日志文件进行一次轮替
create 0664 root utmp
#建立的新日志文件，权限是 0664，所有者是 root，所属组是 utmp 组
minsize 1M
#日志文件最小轮替大小是 1MB。也就是日志一定要超过 1MB 才会轮替，否则就算
#时间达到一个月，也不进行日志转储
rotate 1
#仅保留一个日志备份。也就是只有 wtmp 和 wtmp.1 日志保留而已
}

/var/log/btmp {
#以下参数只对/var/log/btmp 生效
missingok
#如果日志不存在，则忽略该日志的警告信息
monthly
create 0600 root utmp
rotate 1
}
# system-specific logs may be also be configured here.

配置文件主要参数：

 

　　prerotate 和 postrotate 主要用于在日志轮替的同时，执行指定的脚本，一般用于日志轮替之后重启服务。这里强调，如果你的日志是写入 rsyslog 服务的配置文件的，那么把新日志加入 logrotate后，一定要重启 rsyslog 服务，否则你会发现虽然新日志建立了，但是数据还是写入了旧的日志当中。那是因为虽然 logrotate 知道日志轮替了，但是 rsyslog 服务却并不知道。同理，如果你的日志不是被 rsyslog 管理，如源码包安装的 Apache、Nginx 等服务，则需要重启 Apache 或 Nginx 服务，否则日志也不能正常轮替。

3、把自己的日志加入日志轮替

（1）直接在 /etc/logrotate.conf 配置文件中写入该日志的轮替策略

（2）在/etc/logrotate.d 目录中新建立该日志的轮替文件，在该轮替文件中写入正确的轮替策略，因为该目录中的文件都会被“include”到主配置文件中。

例子：

[root@localhost ~]# chattr +a /var/log/alert.log
#先给日志文件赋予 chattr 的 a 属性，保证日志的安全
[root@localhost ~]# vi /etc/logrotate.d/alter
#创建 alter 轮替文件，把/var/log/alert.log 加入轮替
/var/log/alert.log {
weekly 每周轮替一次
rotate 6 保留 6 个轮替日志
sharedscripts 以下命令只执行一次
prerotate 在日志轮替之前执行
/usr/bin/chattr -a /var/log/alert.log
#在日志轮替之前取消 a 属性，以便让日志可以轮替
endscript 脚本结束
sharedscripts
postrotate 在日志轮替之后执行
/usr/bin/chattr +a /var/log/alert.log
#日志轮替之后，重新加入 a 属性
endscript
sharedscripts
postrotate
/bin/kill -HUP $(/bin/cat /var/run/syslogd.pid 2>/dev/null) &>/dev/null
endscript
#重启 rsyslog 服务，保证日志轮替正常
}

4、logrotate 命令

　　我们日志轮替之所以可以在指定的时间备份日志，其实也要依赖系统定时任务。如果大家还记得/etc/cron.daily/目录，就会发现这个目录中是有 logrotate 文件，logrotate 通过这个文件依赖定时任务执行的。

[root@localhost ~]# logrotate [选项] 配置文件名
选项：
如果此命令没有选项，则会按照配置文件中的条件进行日志轮替
-v： 显示日志轮替过程。加了-v 选项，会显示日志的轮替的过程
-f： 强制进行日志轮替。不管日志轮替的条件是否已经符合，强制配置文件中所有
的日志进行轮替