centos7—日志文件

一、日志文件：主要记录在本机上谁什么时间做了什么事情．

1、日志文件在管理中的作用：1).系统故障排错

2).统计访问量

2、日志软件: rpm -q rsyslog

文件列表: rpm -ql rsyslog

配置文件: rpm -qc rsyslog

3、日志文件默认位置：/var/log

注：某些第3方软件的日志文件位于软件自己的目录中的log目录或其他位置。

4、常见的日志文件：(/var/log)

注：文件类型用file命令查。

大多数日志文件是纯文本文件,可以用cat 、head来查看。

还有一些是二进制日志文件，需要用专用的命令来查看。

secure：安全相关,主要是用户认证,如登录、创建和删除账号、sudo等

audit/audit.log：审计日志。跟用户账号相关

messages：记录系统和软件的绝大多数消息。如服务启动、停止、服务错误等。

boot.log：系统启动日志。能看到启动流程。

cron：计划任务日志。会记录crontab计划任务的创建、执行信息。

dmesg：硬件设备信息(device)。纯文本,也可以用dmesg命令查看。

yum.log：yum软件的日志。记录yum安装、卸载软件的记录。

lastlog：最后登录的日志。用lastlog查看(二进制日志文件)

btmp：登录失败的信息(bad)。用lastb查(二进制日志文件)

wtmp：正确登录的所有用户命令(who、w)，用last查(二进制日志文件)

日志练习：开两个命令终端窗口，分别执行不同的命令，看A窗口中的日志信息变化，

A窗口：tail -0f /var/log/messages #实时监测messages日志文件

B窗口：systemctl restart firewalld

systemctl stop firewalld

-------------------------------------------------------------------------------------------------------------------

rsyslog日志程序的配置文件:rpm -qc rsyslog #查的结果如下

/etc/logrotate.d/syslog #日志轮转(切割、轮替)策略文件

/etc/rsyslog.conf #主配置文件

/etc/sysconfig/rsyslog #环境设置配置文件

-------------------------------------------------------------------------------------------------------------------

主配置文件：/etc/rsyslog.conf

-------------------------------------------------------------------------------------------------------------------

日志类别：（用man 3 syslog来查看）

注:日志类别主要是用来区分软件、服务.

LOG_AUTH #安全或授权信息

LOG_AUTHPRIV #安全或授权信息 (私有)

LOG_CRON #计划任务

LOG_DAEMON #系统守护进程 without separate facility value

LOG_FTP #ftp守护进程相关

LOG_KERN #内核消息 (these can't be generated from user processes)

LOG_LOCAL0 through LOG_LOCAL #本地自定义

LOG_LPR #打印子系统

LOG_MAIL #邮件子系统

LOG_NEWS #新闻组子系统

LOG_SYSLOG #系统消息(8)

LOG_USER (default) #一般用户的等级的消息

LOG_UUCP #UUCP subsystem unix like机器本身相关子系统

-------------------------------------------------------------------------------------------------------------------

日志等级level：（用man 3 syslog来查看）

注：等级主要用来区分某个软件中日志的分类。

LOG_EMERG #疼痛级,严重错误

LOG_ALERT #报警.必须立即采取措施

LOG_CRIT #较严重

LOG_ERR #错误

LOG_WARNING #警告

LOG_NOTICE #提示信息.normal, but significant, condition

LOG_INFO #信息

LOG_DEBUG #调试级信息

注：等级为none表示不记录任何信息。

-------------------------------------------------------------------------------------------------------------------

案例一：要求创建一个跟messages日志文件相同的日志规则,将日志记录到/var/log/my.log文件中.

vim /etc/rsyslog.conf #执行如下操作

*.info;mail.none;authpriv.none;cron.none /var/log/messages #找到此行

*.info;mail.none;authpriv.*;cron.none /var/log/my.log #添加此行

-------------------------------------------------------------------------------------------------------------------

重启rsyslog服务：systemctl restart rsyslog

查看日志：cat /var/log/my.log

-------------------------------------------------------------------------------------------------------------------

二、logger 是Shell命令，可以通过该命令使用 rsyslog 的系统日志模块，还可以从命令行直接向系统日志文件写入一行信息。

1、logger命令的语法为：

logger [-i] [-f filename] [-p priority] [-t tag] [message...]

注：-f filename：将 filename 文件的内容作为日志。

-i 每行都记录logger进程的ID。

-p priority：指定优先级；优先级必须是形如 facility.priority 的完整的选择器，默认优先级为 user.notice。

-t tag：使用指定的标签标记每一个记录行。

message：要写入的日志内容，多条日志以空格为分隔；如果没有指定日志内容，并且 -f filename 选项为空，那么会把标准输入作为日志内容。

案例一：将ping命令的结果写入日志：

创建ping的日志：ping -c 3 127.0.0.1 | logger -it logger_test -p local3.notice

创建ping的日志：ping -c 3 127.0.0.5 | logger -it logger_test -p local3.notice

查看日志文件：cat /var/log/user.log

查看到的日志内容：Oct 6 12:48:53 kevein logger_test[22484]: 64 bytes from 192.168.0.1: icmp_seq=10 ttl=253 time=931 ms

发现ping命令的结果成功输出到/var/log/userlog 文件。

注：命令 logger -it logger_test -p local3.notice 各选项的含义：

-i：在每行都记录进程ID；

-t logger_test：每行记录都加上“logger_test”这个标签；

-p local3.notice：设置日志类型和优先级。

-------------------------------------------------------------------------------------------------------------------

三、logrotate日志切割：

1、作用：1).防止日志文件过大

2).定期删除旧日志文件

2、配置文件：rpm -qc logrotate #文件如下

/etc/cron.daily/logrotate

/etc/logrotate.conf

/etc/rwtab.d/logrotate

/var/lib/logrotate/logrotate.status

3、查轮滚策略帮助手册：man logrotate.conf

4、配置文件内容：cat /etc/logrotate.conf

注:此配置文件主要定义日志文件切割(轮滚、轮转、滚动)的策略方案.

# see "man logrotate" for details

# rotate log files weekly

weekly #每周一轮滚

# keep 4 weeks worth of backlogs

rotate 4 #保留4个备份

# create new (empty) log files after rotating old ones

create #创建新的空日志文件代替旧文件

# use date as a suffix of the rotated file

dateext #使用日志为文件名后缀,禁用此项时默认以数字为后缀.

# uncomment this if you want your log files compressed

#compress #是否压缩(后缀为.gz)

# RPM packages drop log rotation information into this directory

include /etc/logrotate.d #包含指定的目录,此目录下保存日志策略

# no packages own wtmp and btmp -- we'll rotate them here

/var/log/wtmp { #日志文件路径及其个性化轮转策略

monthly #每月一轮滚

create 0664 root utmp #创建的新日志文件权限、属主、属组

minsize 1M #文件最小容量

rotate 1 #保留1个备份

}

/var/log/btmp {

missingok #丢了也不会报错

monthly

create 0600 root utmp

rotate 1

}

# system-specific logs may be also be configured here.

-------------------------------------------------------------------------------------------------------------------

强制测试轮滚：logrotate -fv /etc/logrotate.conf

ls /var/log/

注:1、-f是强制轮滚，-v显示过程

2、日志文件名后缀的数字越大，文件越旧。日志清理时是清理旧文件。

案例一：给/var/log/my.log日志文件创建轮滚策略,每天一轮滚,文件丢了也不报错,保留2个备份,启用压缩功能,用数字作为文件名后缀.

vim /etc/logrotate.d/my 添加如下内容

/var/log/my.log {

daily #每天一轮滚

missingok #丢了也不报错

nodateex #不使用日期为后缀,即用数字为后缀

create #创建新文件

rotate 2 #保留2个备份

compress #启用压缩(后缀为.gz)

}

测试轮滚：logrotate -fv /etc/logrotate.d/my

查看日志文件列表：ls /var/log/my*

注：部分知识点来源于man手册。

(责任编辑：IT)

搜索

热门标签:

centos7—日志文件