rsyslog 系統(tǒng)日志管理

logrotate日志輪轉(zhuǎn)

rsyslog部分：

rsyslog是系統(tǒng)專職日志程序须误，處理絕大部分日志記錄，記錄系統(tǒng)操作有關(guān)的信息旭绒。

（此外處理日志的進(jìn)程除了rsyslog外鸟妙，還有各類應(yīng)用程序）

觀察rsyslogd程序：

命令：ps aux |grep rsyslogd

[root@localhost ~]# ps aux |grep rsyslogd

root? ? ? 1049? 0.0? 0.5 214452? 5252 ?? ? ? ? Ssl? 21:58? 0:00 /usr/sbin/rsyslogd -n

//進(jìn)程號(hào)1049

關(guān)于syslogd配置：

相關(guān)程序的安裝:yum install rsyslog logrotate

啟動(dòng)該程序：systemctl start rsyslog.service

查詢：rpm -qc rsyslog

//-q 查詢 -c相關(guān)的配置文件

其中的rsyslogd程序主配置文件很重要：/etc/rsyslog.conf

觀察主配置文件：

tail /etc/rsyslog.conf

rsyslogd主配置文件中，規(guī)則：

RULES：生成日志挥吵，以及存儲(chǔ)日志的策略重父。

語法結(jié)構(gòu)： 設(shè)備FACILITY .級(jí)別LEVEL 文件位置FILE

例如：

authpriv.* /var/log/secure（SSH信息）

mail.* -/var/log/maillog（發(fā)郵件）

cron.* /var/log/cron（創(chuàng)建任務(wù)）

設(shè)備類型：

? ? ?

1. LOG_SYSLOG -----------syslogd產(chǎn)生的日志

2. LOG_AUTHPRIV----------安全認(rèn)證的日志

3. LOG_CRON--------------計(jì)劃任務(wù)at || cron的日志

4. LOG_MAIL------------- 郵件系統(tǒng)mail subsystem的日志

5. LOG_USER(default)-----用戶相關(guān)的日志

6. LOG_DAEMON -----------后臺(tái)進(jìn)程的日志

7. LOG_FTP --------------FTP產(chǎn)生的日志

8. LOG_KERN------------- 內(nèi)核kernel產(chǎn)生的日志

9. LOG_LPR --------------打印設(shè)備產(chǎn)生的日志

級(jí)別類型：

（級(jí)別又高到低，信息由少到多）

1. LOG_EMERG-------------緊急忽匈，致命，服務(wù)無法繼續(xù)使用運(yùn)行,例如配置文件丟失

2. LOG_ALERT-------------報(bào)警丹允，需要立即處理郭厌，例如磁盤空間快滿了95%

3.LOG_CRIT---------------致命行為

4.LOG_ERR----------------錯(cuò)誤行為

5.LOG_WARNNING-----------警告信息

6.LOG_NOTICE-------------普通，重要的標(biāo)準(zhǔn)信息

7.==LOG_ALERT==----------標(biāo)準(zhǔn)信息

8.LOG_DEBUG--------------調(diào)試信息

logrorate日志輪轉(zhuǎn)：

在rsyslogd的主配置文件中有：

主文件 /etc/logrorate.conf

子配置文件夾 /etc/logrorate.d

觀察主文件和子文件

1|[root@qianfeng ~]# ls /etc/logrotate.conf /etc/logrotate.d/

2|/etc/logrotate.conf

3|/etc/logrotate.d/:

4|acpid cups iscsiuiolog ppp rpm subscription-manager up2date 5|wpa_supplicant

5|conman httpd mgetty psacct setroubleshoot syslog vsftpd.log yum

主配置文件：

=========全局設(shè)置==========

weekly? ? ? ? //輪轉(zhuǎn)周期雕蔽，一周輪轉(zhuǎn)

rotate 4? ? ? //保留4份

create? ? ? ? //輪轉(zhuǎn)后創(chuàng)建新文件

dateext? ? ? //使用日期作為后綴

compress? ? //是否壓縮

include /etc/logrotate.d //包含該目錄下的子配置文件

#對(duì)單個(gè)日志文件設(shè)置

/var/log/wtmp {

monthly? ? //一月輪轉(zhuǎn)一次

minsize 1M? //最小達(dá)到1M才輪轉(zhuǎn),monthly and? minsize

create 0664 root utmp? //輪轉(zhuǎn)后創(chuàng)建新文件折柠，并設(shè)置權(quán)限

rotate 1? //保留一份

}