在CentOS 6.x上,rsyslogd用rsyslogd替换了日志服务。 Red Hat公司认为syslogd已经不能满足工作中的需求,rsyslogd与syslogd相比具有一些新的特点。
根据TCP网络协议传输日志信息。 更安全的网络传输方式。 有日志信息的实时分析框架。 后台数据库。 可以在轮廓上写简单的逻辑判断。 与syslog配置文件兼容。
rsyslogd日志服务更高级,功能更多。 但是,无论是使用该服务,还是日志文件格式,其实都与syslogd服务兼容,因此学习后基本上与syslogd服务一致。
如何知道Linux上的rsyslogd服务是否已启动? 如何查询rsyslogd服务的自启动状态? 命令如下:
[ root @ localhost~] # psaux|grep ' r syslog '|grep-v ' grep ' root 1139.0.2359481500? Sl 09:40 0:00 /s热心香烟/rsyslogd-I/yjfdhs/run/syslogd.PID-C5 #有rsyslogd服务流程。 因此,该服务已经[ root @ localhost~~ ] # chkconfig-- list|greprsyslogrsyslog0: off1: off2: on3: on4: on5: off6: off
在Linux系统中,只要各个进程将信息给予这个服务,它就会自动地把日志按照特定的格式记录到不同的日志文件中。也就是说,采用 rsyslogd 服务管理的日志文件,它们的格式应该是统一的。,例如apache服务,其日志是由apache软件本身生成并记录的,没有调用rsyslogd服务。 但是,为了便于读取,apache日志文件的格式与系统默认日志的格式一致。
Linux日志文件(一般)及其功能日志文件是重要的系统信息文件,记录了许多重要的系统事件,如用户登录信息、系统启动信息、系统安全信息、邮件相关信息和各种服务相关信息由于这些信息非常敏感,因此Linux只有root用户才能读取这些日志文件。
那么,系统日志文件保存在哪里? 还记得/yjfdhs/目录吗? 这是用于存储系统动态数据的目录,而/yjfdhs/log/目录是系统日志文件的存储位置。 表1说明了系统中的重要日志文件。
表1系统重要日志文件日志文件说明/yjfdhs/log/cron与系统定时任务相关的曰志/yjfdhs/log/cups/记录打印信息的曰志/yjfdhs/log/dmesg是系统也可以使用dmesg命令直接显示错误登录到内核自检信息/yjfdhs/log/btmp的日志。 此文件是二进制文件,不能直接在Vi中查看。 相反,请使用lastb命令查看。 命令如下:
[root@localhost log]#lastb
root tty1tue jun 422336038-22336038 (00:00 ) ) )。
#6月4日、22:38日,root用户在本地终端1上记录错误/yjfdhs/log/lasllog,并记录系统中所有用户的最后登录时间。 此文件也是二进制文件。 不能直接用Vi看。 此外,要使用lastlog命令显示/yjfdhs/Iog/mailog记录邮件信息,请访问日志http://www.Sina.com/http://www.Sina.com//yjfdhs/log/com 在相关情况下,例如,系统登录、ssh登录、su切换用户、sudo许可证、添加用户和更改用户密码都会记录在此日志文件中。 /yjfdhs/log/wtmp永久记录所有用户的登录、注销信息,同时记录系统的事后、重新启动、关闭事件。 同样,该文件也是二进制文件。 使用last命令记录当前通过/yjfdhs/tun/ulmp登录的用户的信息,而不是直接在Vi中查看。 此文件根据用户的登录和注销而不断变化,仅记录当前登录的用户的信息。 同样,此文件不能直接在Vi中查看。 使用w、who、users等命令,除了系统的默认日志外,还可以使用有一部分日志不是由 rsyslogd 服务来管理的但这些日志不是由rsyslogd服务记录和管理的,每个服务都是自己的以下介绍的日子
志目录在你的 Linux 上不一定存在,只有安装了相应的服务,日志才会出现。服务日志如表 2 所示。表 2 服务日志 日志文件说明/yjfdhs/log/httpd/RPM包安装的apache取务的默认日志目录/yjfdhs/log/mail/RPM包安装的邮件服务的额外日志因录/yjfdhs/log/samba/RPM色安装的Samba服务的日志目录/yjfdhs/log/sssd/守护进程安全服务目录
Linux日志文件格式分析
只要是由日志服务 rsyslogd 记录的日志文件,它们的格式就都是一样的。所以我们只要了解了日志文件的格式,就可以很轻松地看懂日志文件。
日志文件的格式包含以下 4 列:
我们查看一下 /yjfdhs/log/secure 日志,这个日志中主要记录的是用户验证和授权方面的信息,更加容易理解。命令如下:
我截取了一段日志的内容,其实分析日志既是重要的系统维护工作,也是一项非常枯燥和烦琐的工作。如果我们的服务器出现了一些问题,比如系统不正常重启或关机、用户非正常登录、服务无法正常使用等,则都应该先查询日志。
实际上,只要感觉到服务器不是很正常就应该查看日志,甚至在服务器没有什么问题时也要养成定时查看系统日志的习惯。