日志文件
|
说明
|
/var/log/cron
|
记录了系统定时任务相关的日志
|
/var/log/cups/
|
记录了打印信息的日志
|
/var/log/dmesg
|
记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息。
|
/var/log/btmp
|
记录错误登录的日志。这个文件是二进制文件,不能直接用vi查看,而要使用lastb命令查看,命令如下:#lastb
|
/var/log/lastlog
|
记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件,不能直接vi,而要使用lastlog命令查看。
|
/var/log/mailog
|
记录邮件信息
|
/var/log/message
|
记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息。如果系统出现问题时,首先要检查的就应该是这个日志文件。
|
/var/log/secure
|
记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。比如说系统的登录、ssh的登录、su切换用户、sudo授权,甚至添加用户和修改用户密码等都会记录在这个日志文件中。
|
/var/log/wtmp
|
永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看
|
/var/run/utmp
|
记录当前己经登录的用户信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w、who、users等命令来查询。
|
(5)除了系统默认的日志之外,采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录(源码包安装的服务日志是在源码包指定目录中)。不过这些日志不是由rsyslogd服务来记录和管理的,而是各个服务使用自己的日志管理文档来记录自身日志。
日志文件
|
说明
|
/var/log/httpd/
|
RPM包安装的apache服务的默认日志目录
|
/var/log/mail/
|
RPM包安装的邮件服务的额外日志目录
|
/var/log/samba/
|
RPM包安装的samba服务的日志目录
|
/var/log/sssd
|
守护进程安全服务目录
|
2. rsyslogd日志服务
(1)日志文件格式(包含4列)
①事件产生的时间
②发生事件的服务器的主机名
③产生事件的服务名或程序名
④事件的具体信息
(2)/etc/rsyslog.conf配置文件
①文件内容:
服务器名称[连接符号] 日志等级 日志记录位置
authpriv.* /var/log/secure //“.”为连接符号,表示大于等于后面指定的等级。“*”表示所有等级,该语句的意思是把与认证相关服务的所有日志都记录在/var/log/secure文件中。
②服务名称
服务名称
|
说明
|
auth
|
安全和认证相关消息(不推荐使用authpriv替代)
|
authpriv
|
安全和认证相关消息(私有的)
|
cron
|
系统定时任务cront和at产生的日志
|
daemon
|
和各个守护进程相关的日志
|
ftp
|
ftp守护进程产生的日志
|
kern
|
内核产生的日志(不是用户进程产生的)
|
Local0-local7
|
为本地使用预留的服务
|
lpr
|
打印产生的日志
|
mail
|
邮件收发信息
|
news
|
与新闻服务器相关的日志
|
syslog
|
由syslogd服务产生的日志信息(虽然服务名称己经为rsyslogd,但是很多配置都还是沿用了syslogd的,这里并没有修改服务名)
|
user
|
用户等级类别的日志信息
|
uucp
|
uucp子系统的日志信息,uucp是早期Linux系统进行数据传递的协议,后来也常用在新闻组服务中。
|
③连接符号
连接符号
|
说明
|
*
(实际上不是连接符)
|
代表所有日志等级,如“authpriv.*”代表authpriv认证信息服务产生的日志,所有的日志等级都记录
|
“.”
|
代表只要比后面的等级高的(包含该等级)日志都记录下来。比如:“conf.info”代表cron服务产生的日志,只要日志等级大于等于info等级,就记录。
|
“.=”
|
代表只记录所需要等级的日志,其他等级都不记录。比如:“*.=emerg”代表用户和日志服务产生的日志,只要等级是emerg等级就记录。这种用法很少见。
|
“.!”
|
代表不等于,也就是除了该等级的日志外,其他等级日志都记录。
|
④日志等级
等级名称
|
说明
|
debug
|
一般的调试信息等级
|
info
|
基本的通知信息
|
notice
|
普通信息,但是有一定的重要性
|
warning
|
警告信息,但是还不会影响到服务或系统的运行
|
err
|
错误信息,一般达到err等级的信息己经可能影响到服务或系统的运行了
|
crit
|
临界状态信息,比err等级还要严重
|
alert
|
警告状态信息,比crit还要严重,必须立即采取行动
|
emerg
|
疼痛等级信息,系统己经无法使用了
|
⑤日志记录位置:
A.绝对路径:如“/var/log/secure”
B.系统设备文件:如“/dev/lp0”
C.转发给远程主机,如“@192.168.0.210:514”
D.用户名,如“root”
E.忽略或丢弃日志,如“~”
3. 日志轮替
(1)日志文件的命令规则
①如果配置文件中拥有“dateext”参数,那么日志会用日期来作为日志文件的后缀。如“secure-20170107”。这样的话日志文件名就不会重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可。
②如果配置文件中没有“dateexte”参数,那么日志文件就需要进行改名。当第1次进行日志轮替时,当前的“secure”日志会自动改名为“secure.1”,然后新建“secure”日志,用来保存新的日志。当第2次进行日志轮替时,“secure.1”会被自动改名为secure.2,当前的“secure”日志会自动改名为“secure.1”,然后也会新建“secure”日志用来保存新的日志,以此类推。
(2)logrotate配置文件(/etc/logrotate.conf)
参数
|
说明
|
daily
|
日志的轮替周期是每天
|
weekly
|
日志的轮替周期是每周
|
monthly
|
日志的轮替周期是每月
|
rotate 数字
|
保留的日志文件的个数。0指没有备份
|
compress
|
日志轮替时,旧的日志进行压缩
|
Create mode owner group
|
建立新日志,同时指定新日志的权限与所有者和所属组。如create 0600 root utmp
|
(3)将apache日志加入轮替(一般源码包安装的程序才需手工加入日志轮替,RPM包安装的会自动加入)
#vi /etc/logrotate.conf
/usr/local/apache2/logs/access_log{ //用绝对路径写明要加入轮替的日志
daily
create
rotate 30
}
(4)logrotate命令:#logrotate [选项] 配置文件
选项
|
说明
|
-v
|
显示日志轮替过程。加了-v选项会显示日志轮替的过程
|
-f
|
强制进行日志轮替。不管日志轮替的条件是否己经符合,强制配置文件中所有的日志进行轮替。
|
备注
|
如果此命令没有选项,则会按照配置文件中的条件进行日志轮替
#logrotate –f /etc/logrotate.conf //强制进行日志轮替
|