簡(jiǎn)介
記錄linux上的服務(wù)情況
查看服務(wù)是否啟動(dòng)
ps aux | grep rsyslog
systemctl status rsyslog
常見(jiàn)日志
| 日志文件 | 說(shuō)明 |
|---|---|
| /var/log/cron | 記錄了系統(tǒng)定時(shí)任務(wù)相關(guān)的日志 |
| /var/log/cpus | 記錄打印信息的日志 |
| /var/log/dmesg | 記錄系統(tǒng)開(kāi)機(jī)內(nèi)核信息膝但,也可以使用dmesg查看 |
| /var/log/btmp | 記錄錯(cuò)誤的登錄信息馋袜,文件是二進(jìn)制的茅糜,要用lastb命令查看 |
| /var/log/lastlog | 記錄系統(tǒng)中所有用戶(hù)最后一次登錄時(shí)間的日志,要用lastlog查看 |
| /var/log/maillog | 記錄郵件信息 |
| /var/log/message | 記錄系統(tǒng)重要信息日志 |
| /var/log/secure | 記錄驗(yàn)證和授權(quán)方面的信息 |
| /var/log/wtmp | 永久記錄用戶(hù)登錄,注銷(xiāo)信息,同時(shí)記錄系統(tǒng)的重啟胁赢,啟動(dòng)關(guān)機(jī)事件 last命令查看 |
| /var/log/utmp | 記錄當(dāng)前已登錄的用戶(hù)信息 w查看 |
rsyslog日志服務(wù)
rsyslog 特點(diǎn)
- 基于tcp網(wǎng)絡(luò)協(xié)議傳輸日志信息
- 更安全的網(wǎng)絡(luò)傳輸方式
- 有日志消息的及時(shí)分析框架
- 后臺(tái)數(shù)據(jù)庫(kù)
- 配置文件中可以寫(xiě)簡(jiǎn)單的邏輯判斷
- 與 syslog配置文件相兼容
日志文件格式
- 時(shí)間發(fā)生時(shí)間
- 發(fā)生事件的服務(wù)器或主機(jī)名
- 發(fā)生事件的服務(wù)器或程序名
- 事件的具體信息
rsyslog配置文件
/etc/rsyslog.conf
服務(wù)名稱(chēng)
| 名稱(chēng) | 說(shuō)明 |
|---|---|
| auth | 安全和認(rèn)證相關(guān)消息 |
| authpriv | 安全和認(rèn)證相關(guān)消息,私有的 |
| cron | 系統(tǒng)定時(shí)任務(wù)crond和at產(chǎn)生的日志 |
| daemon | 各個(gè)守護(hù)進(jìn)程相關(guān)的日志 |
| ftp | ftp守護(hù)進(jìn)程產(chǎn)生的日志 |
| kern | 內(nèi)核產(chǎn)生的日志 |
| local10-local7 | 為本地預(yù)留的服務(wù) |
| lpr | 打印產(chǎn)生的日志 |
| 郵件收發(fā)信息 | |
| news | 與新聞服務(wù)器相關(guān)的日志 |
| syslog | 有syslogd服務(wù)產(chǎn)生的日志信息 |
| user | 用戶(hù)等級(jí)類(lèi)別的日志 |
| uucp | uucp子系統(tǒng)日志信息 |
鏈接符號(hào)
- 代表所有日志等級(jí) 例如 authpriv.* 表示authpriv所有等級(jí)都記錄
- . 代表只要比后面等級(jí)高的日志都記錄 例如 cron.info 表示只記錄cron 日志等級(jí)大于info的信息
- .= 代表只記錄所需等級(jí)的日志 例如 *.=emerg 表示任何日志服務(wù) 只要是emerg的信息都記錄
- .! 代表不等于铐拐, 除了該等級(jí)徘键,其余都記錄
日志等級(jí)
| 名稱(chēng) | 說(shuō)明 |
|---|---|
| debug | 一般調(diào)試信息說(shuō)明 |
| info | 基本的通知信息 |
| notice | 普通信息,但有一定重要性 |
| warning | 警告信息遍蟋,但是還不到影響服務(wù)或系統(tǒng)運(yùn)行 |
| err | 錯(cuò)誤信息吹害,一般達(dá)到err 會(huì)影響服務(wù)和系統(tǒng)運(yùn)行 |
| crit | 臨界狀況,比err嚴(yán)重 |
| alert | 警告狀態(tài)虚青,比crit嚴(yán)重它呀,要采取措施 |
| emerg | 疼痛信息,系統(tǒng)已經(jīng)無(wú)法使用 |
日志輪替
日志文件名命名規(guī)則
/etc/logrotate.conf
如果配置文件中有dateext棒厘,會(huì)拿當(dāng)前日期作為日志文件的后綴纵穿。
如果配置文件中沒(méi)有dateext,當(dāng)前日志文件為secure奢人,輪替是谓媒,會(huì)將secure改名secure.1 然后新建secure
配置文件參數(shù)說(shuō)明
| 名稱(chēng) | 說(shuō)明 |
|---|---|
| daily | 日志輪替的周期是每天 |
| weekly | 每周 |
| monthly | 日志輪替周期是每月 |
| rotate 數(shù)字 | 保留日志文件個(gè)數(shù),0表示沒(méi)有備份 |
| compress | 日志輪替時(shí)何乎,對(duì)舊日志進(jìn)行壓縮 |
| create mode owner group | 建立新日志句惯,同時(shí)指定新日志的權(quán)限與所有者和所屬組 如 create 0600 root utmp |
