Linux之日志管理
作者:互联网
基本介绍:
1、日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等
2、日志对于安全来说也很重要,他记录了系统每天发送的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹
3、可以这样理解:日志是用来记录重大事件的工具
绝大部分的系统日志文件保存在 /var/log/目录下
/var/log/boot.log系统启动日志
/var/log/cron记录与系统定时任务相关的日志
/var/log/lasllog记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件。要用lastlog命令查看
/var/log/maillog记录邮件信息的日志
/var/log/message记录系统重要消息的日志,这个日志文件中会记录Linux系统的绝大多数重要信息。如果系统出问题,首先要检查的应该就是这个日志文件
/var/log/secure记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如系统的登录、ssh的登录、su切换用户、sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中
/var/log/ulmp记录当前已经登录的用户信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。这个文件不能用Vi查看,而要使用w、who、users等命令查看
日志管理服务:rsyslogd
ps aux | grep "rsyslog" | grep -v "grep" 查询Linux中的rsyslog服务是否启动
systemctl list-unit-files | grep rsyslog 查询rsyslogd服务的自启动状态
配置文件:/etc/rsyslog.conf
编辑文件时的格式为:*.* 存放日志文件 第一个*代表日志类型,第二个*代表日志级别
1、日志类型分为:
auth ##pam产生的日志
authpriv ##ssh、ftp等登录信息的验证消息
corn ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)-rsyslog ##服务内部的信息
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to nuix copy主机之间相关的通信
local 1-7 ##自定义的日志设备
2、日志级别:
debug ##有调试信息的,日志通信最多
info ##一般信息日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等重要信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录信息越来越少
自定义日志服务:vim /etc/rsyslog.conf 增加日志规则
/etc/logrotate.canf 全局的日志轮替策略/规则,当然可以单独给某个日志文件指定策略
日志轮替:把旧日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存范围之后,就会进行删除
日志轮替文件命名:
1、centos7使用logrotate进行日志轮替管理,想要改变日志轮替文件名字,通过/etc/logrotate.conf配置文件中“dateext”参数;
2、如果配置文件中有“dateext”参数,那么日志会用日期来作为日志文件的后缀,例如“secure-20201010”。这样日志文件名不会重叠,也就不需要日志文件的改名,只需要指定保存日志个数,删除多余的日志文件即可。
3、如果配置文件中没有“dateext”参数,日志文件就需要进行改名了。当第一次进行日志轮替时,当前的“secure”日志会自动改名为“secure.1”,然后新建“secure”日志,用来保存新的日志。当第二次进行日志轮替时,“secure.1”会自动改名为“secure.2”,当前的“secure”日志会自动改名为“secure.1”,然后也会新建“secure”日志,用来保存新的日志,以此类推。
weekly每周对日志文件进行一次轮替
rotate4共保存4份日志文件,当建立新的日志文件时,旧的将会被删除
create创建新的空的日志文件,在日志轮替后
dateext使用日期作为日志轮替文件的后缀
查看内存日志
journalctl可以查看内存日志
标签:文件,log,管理,##,Linux,信息,轮替,日志 来源: https://www.cnblogs.com/zhuhaiquan/p/15965440.html