Linux日誌管理學習

Linux日誌管理學習
1、日誌介紹 日誌記錄了系統每天發生的各種事情，可以通過它檢查錯誤發生的原因，或者受到攻擊留下的痕迹。為了便於管理日誌通常存放在/var/log/下，一部分程式公用一個記錄檔，一部分程式使用單個的記錄檔，有些大型服務程式記錄檔較多，會建立相應的子目錄來存放記錄檔。2、日誌類型/var/log/secure：系統安裝日誌，文字格式設定，應周期性分析/var/log/btmp：當前系統上，使用者的失敗嘗試登入相關的日誌資訊，二進位格式，lastb命令進行查看/var/log/wtmp：當前系統上，使用者正常登入系統的相關日誌資訊，二進位格式，last命令可以查看/var/log/lastlog:每一個使用者最近一次的登入資訊，二進位格式，lastlog命令可以查看/var/log/dmesg：系統引導過程中的日誌資訊，文字格式設定文本查看工具查看專用命令dmesg查看/var/log/messages ：系統中大部分的資訊/var/log/anaconda : anaconda的日誌（centos6沒有）3、日誌配置Redhat5服務名：syslog設定檔：/etc/syslog.confC/S架構：通過TCP或UDP協議的服務完成日誌記錄傳送，將分布在不同主機的日誌實現集中管理事件記錄格式：日期時間 主機 進程[pid]: 事件內容centos6 7服務名：rsyslog特性：多路工作模組，通過UDP, TCP, SSL, TLS, RELP協議的服務完成日誌記錄傳送，將分布在不同主機的日誌實現集中管理，自訂輸出格式，關係型資料庫實現日誌儲存設定檔：/etc/rsyslog.conf，/etc/rsyslog.d/*.conf庫檔案： /lib64/rsyslog/*.so設定檔格式：由三部分組成 MODULES：相關模組配置 GLOBAL DIRECTIVES：全域配置 RULES：日誌記錄相關的規則配置RULES配置格式： facility.priority; facility.priority… targetfacility：設施，從功能或程式上對日誌進行歸類 auth, authpriv, cron, daemon,ftp,kern, lpr, mail,news, security(auth), user, uucp, local0-local7, syslogpriority：優先順序別，從低到高排序 debug, info, notice, warn(warning), err(error),crit(critical), alert, emerg(panic) *: 所有層級 none：沒有層級，即不記錄 PRIORITY：指定層級（含）以上的所有層級 =PRIORITY：僅記錄指定層級的日誌資訊target： 檔案路徑：通常在/var/log/，檔案路徑前的-表示非同步寫入 使用者：將日誌事件通知給指定的使用者，* 表示登入的所有使用者 Log Service器：@host，把日誌送往至指定的遠程伺服器記錄 管道： | COMMAND，轉寄給其它命令處理例：5、日誌管理Systemd 統一管理所有 Unit 的開機記錄。帶來的好處就是，可以只用journalctl一個命令，查看所有日誌（核心日誌和應用日誌）。日誌的設定檔是etc/systemd/journald.conf查看所有日誌（預設情況下 ，只儲存本次啟動的日誌）journalctl查看核心日誌（不顯示應用日誌）journalctl -k查看系統本次啟動的日誌journalctl -bjournalctl -b -0查看上一次啟動的日誌（需更改設定）journalctl -b -1日誌預設分頁輸出，--no-pager 改為正常的標準輸出journalctl --no-pager6、日誌滾動或者日誌轉儲 日誌長期記錄會形成一個很大的檔案，對於尋找資訊很不方便，所以在設定檔/etc/logrotate.conf中設定達到一定大小或者每隔一定時間產生新的記錄檔，稱為日誌轉儲，舊的檔案通常以日誌名+日期的格式儲存，可以在設定檔自訂。