一.日志管理简介
1 .什么是日志
系统日志记录有关系统中硬件、软件和系统问题的信息,并监视系统中发生的事件。 这样,用户就可以检查错误的原因,并查找攻击者在受到攻击时留下的痕迹。 系统日志包括系统日志、APP应用程序日志和安全日志。
2 .日志服务
在CentOS6.x上,日志服务取代了以前的syslogd服务,而是rsyslogd。 rsyslogd日志服务更高级,功能更多。 但是,即使使用此服务,日志文件的格式实际上也与syslogd服务兼容,因此基本上与syslogd服务一致。
3.rsyslogd的新功能
基于TCP/IP网络协议传输日志信息;
b .更安全的网络传输方式
c .有日志消息的及时分析框架
d .后台数据库
e .能在轮廓上写简单的逻辑判断;
与syslog配置文件兼容
确定rsyslogd服务是否已启动的方法如下:
1 [ root @ yin zhengjie~] # psaux|greprsyslogd|grep-v grep2root 1676.0.12512001624? s 05:290:00/sbin/rsyslogd-I /伸长绿茶/run/syslogd.PID-c53 [ root @ yin zhengjie~] #4[ root @ yin zhengjie ]
4 .常见日志的作用
日志名称日志路径日志功能计划任务日志/增长的绿茶/log/cron包含有关系统计划任务的日志。 记录日志/伸长的绿茶/log/cups/记录打印信息的日志内核日志/伸长的绿茶/log/dmesg记录打开系统电源时内核自制的信息。 也就是说,使用dmesg命令直接显示内核自检信息。 登录失败在登录/伸出的绿茶/log/btmp中记录错误登录的日志。 因为此文件是二进制文件,所以不要直接在vi中查看,而是用lasth命令例如换行为“[root@yinzhengjie ~]# lastb”即可。 如果有人攻击你的电脑,这个文件里有大量的日志信息。 最后一次登录/伸长的绿茶/log/lastlog记录系统中所有用户最后一次登录时间的日志。 此文件也是二进制文件,不能直接vi。 请用lastlog命令查看。 例如,换行为“[root@yinzhengjie ~]# lastlog”即可。 邮件日志/增长的绿茶/log/maillog邮件信息系统日志/增长的绿茶/log/messages记录系统重要信息的日志。 此日志文件记录Linux系统的大部分重要信息,如果系统出现问题,必须首先检查此日志文件。 默认情况下,此日志文件还会记录服务日志哦。 安全日志/增长的绿茶/log/secure包含有关认证和授权的信息(如果这些信息与帐户和密码程序有关)。 例如,系统登录、ss登录、su用户切换、sudo批准、添加用户和更改用户密码都会记录在此日志文件中。 在日志/伸出的绿茶/log/wtmp中永久记录所有用户的登录,在注销信息的同时,记录系统的启动、重启、关闭时间。 这也是二进制文件,不能直接在vi中打开。 必须使用last命令显示。 [root@yinzhengjie ~]# last当前登录/伸长的绿茶/run/utmp记录当前登录用户的信息。 此文件随着用户登录和注销而不断变化,仅记录当前登录的用户的信息。 同样,此文件也不是直接在vi中打开,而是使用、w、who、users等命令进行检查。
5 .以yum方式安装的日志
除了系统默认日志外,以RPM方式(或yYUM方式)安装的系统服务也默认记录在“/解压缩的绿茶/log”目录中。 源包安装的服务日志位于源包指定目录中。 但是,这些日志不是由rsyslogd服务记录和管理的,而是每个服务都使用自己的日志管理文档记录自己的日志。
日志名称日志路径日志功能Apache日志/增长的绿茶/log/httpd/RPM软件包安装Apache服务端默认日志目录的邮件日志/增长的绿茶/log/mail/RPM软件包插件
二.rsyslogd日志服务
1 .基本日志格式包括四列:
a .事件引起的事件
b .发生事件的服务器的主机名
c .发生事件的服务名称或程序名称
d .案件的具体信息
2./etc/rsyslog.conf
配置文件定义格式如下:
服务名称[连接符号]日志等级 日志存放位置
b>.服务名称及其含义说明
服务名称说明auth安全和认证相关信息( 不推荐使用authpriv替代)authpriv安全和认证相关信息(私有的)cron系统定时任务cront和at产生的日志daemon个各个守护进程相关的日志ftpftp守护进程产生的日志kern内核产生相关的日志(不是用户进程产生的)local0-local7为本地服务使用预留的服务lpr打印产生的日志mail邮件收发信息news与新闻服务器相关的日志syslog有syslog服务产生的日志信息(虽然服务名称已经改为rsyslogd,但是很多配置都还是沿用了syslogd的,这里名没有修改服务名)user用户等级类别的日志信息uucpuucp子系统的日志信息,uucp是早期Linux系统进行数据传递的协议,后来也常用在新闻组服务中。c>.连接符号
连接符号可以识别为:
“*”代表所有日志等级,比如“authpriv.*”代表authpriv认证信息服务产生的日志,所有的日志等级都记录。
“.”代表只要比后面等级高的(包含该等级)日志都记录下来。比如:“cron.info”代表cron服务产生的日志,只要日志等级大于等于inifo级别,就记录。
“.=”代表值记录所需等级的日志,其他等级的都不记录。比如:“*.=emerg”代表任何服务日志产生的日志,只要记录是emerg等级就记录。这种用法极少,了解就好。
“.!”代表不等于,也就是除了该等级的日志外,其他等级的日志都记录。
d>.日志等级说明
等级名称说明debug一般的调试信息说明info基本的通知信息notice普通信息,但是有一定的重要性warning警告信息,但是还不会影响到服务或系统的运行err错误信息,一般达到err等级的信息以及可以影响到服务或系统的运行了。crit临界状况信息,比err等级还要重要alert警告状态信息,比crit还要严重,必须立即采取行动emerg疼痛等级信息,系统以及无法使用了e>.日志记录位置
日志文件绝对路径,如“/拉长的绿茶/log/secure”
系统设备文件,如“/dev/lp0”
转发给远程主机,如"@192.168.3.210:5200"
用户名,如“root”
忽略或丢弃日志,如“~”
三.日志轮替
1.日志切割和日志替换
日志切割:
就是把旧的日志文件移动并改名,同时建立新的日志文件。那么如何命名呢?主要依靠/etc/logrotate.conf配置文件的” dateext ”(系统默认是有该参数的)。如果配置文件拥有“dateext”参数,那么日志就会用日期来作为日志文件的后缀,.如果配置文件啊当中没有“dateext”参数,那么日志文件就需要进行改名。
日志替换:
当旧的日志超过保存的范围之后,就会自动删除时间较早的日志。
2.常用的logrotate.conf参数详解
参数说明compress启用压缩,指的是轮替后的旧日志,这里默认用的是gzip压缩的compressoptions以gzip -9的模式压缩uncompresscmd解压日志,默认是gunzipdaily每天轮替选项dateext轮替的日志文件会附加上一个短横线和YYYYMMDD格式的时间戳delaycompress将以前的日志文件压缩推迟到下一次轮替ifempty即使日志文件是空的也轮替mail将轮替后的文件发送到指定E-mail地址copytruncate用于还在打开中的日志文件,把当前日志备份并截断,开始轮替mailfirst/maillast向邮件发送轮替文件/轮替后历史文件(默认)monthly一个月轮替一次nocompress如果在logrotate.conf中启用了压缩,这里是做不用压缩的参数nomail不发送邮件到任何地址ifempty如果日志时空的就不轮替olddir directory轮替后日志文件放入指定的目录,必须和当前日志文件在同一个文件系统postrotate/endscript在做完轮替后的命令,两个关键字必须单独成行,使用的操作在2者之间相当于分组“{}”,注意的使用外部指令时要用绝对路径prerotate/endscript在做轮替前的命令,同上rotate count轮替最多保留之前的数据几次,超出的将被删除或邮件接收,设为0则不保存size size当日志增长到指定大小的时候开始轮替,它不会考虑,例如:size 100kstart count轮替文件名基于这个数字。例如,指定0时,原日志文件轮替的备份文件以.0为扩展名,如果指定9,就直接从.9开始跳过0-8
然后再继续向后轮替rotate指定的次数。weekly如果当前的星期几比上次轮替的星期几少,或者过了一个多星期,就会发生轮替通常是在每周的第一天轮替,如果logrotate不是每天运行的,会在第一次有机会时进行轮替。yearly如果当前年份不同于上次轮替的年份,则进行日志轮替create mode owner group在轮替动作之后,postrotate脚本执行之前,立即使用刚轮替的日志文件名创建日志文件。
MODE 指定日志文件的权限(0660之类)
OWNER 指定日志文件的属主
GROUP 指定日志文件的属组extension ext日志文件可在轮替后使用指定的EXT扩展名。如果使用压缩,通常EXT后还会加上压缩文件的扩展名,通常是.gz。例如想把mylog.foo轮转为mylog.1.foo.gz而不是mylog.foo.1.gz
3.将Apache日志加入轮替
其实在一般情况下,只有源码安装的软件包才需要我们手动指定轮替,其他yum安装的或是rpm方式安装的全部都是默认的。相信玩Linux的pglt们早就知道在“[root@yinzhengjie ~]# ls /拉长的绿茶/log/”这个目录下回自动有轮替的文件生成,然而我们并没有配置,是因为rsyslogd服务是开机自启的,而且任务的完成依赖于周期性计划任务。
由于我的Apache是源码安装的,因此我需要手动指定轮替,生产环境中源码安装Apache之后,一定要做轮替,因为你不做轮替的话所有的日志会默认保存在一个文件中的,尤其是游戏公司的网站,一天的访问量大的话可能就得用到1G的磁盘大小。如果文件过大是很难进行查看的哟!下面是我配置细节
1 [root@yinzhengjie ~]# more /etc/logrotate.conf | grep -v ^# | grep -v ^$ 2 weekly ----->定义全局变量,默认是每周生效。 3 rotate 4 ------>保留四个日志 4 create ------->创建新日志 5 dateext ------->用日期来作为日志文件的后缀 6 include /etc/logrotate.d ------->加载配置文件 7 /拉长的绿茶/log/wtmp { ------->定义对/拉长的绿茶/log/wtmp日志的轮替 8 monthly ------>按照月进行轮替,并不会被上面定义的weeky影响。 9 create 0664 root utmp10 minsize 1M11 rotate 112 }13 /拉长的绿茶/log/btmp { -------->定义对/拉长的绿茶/log/btmp日志的轮替。14 missingok15 monthly16 create 0600 root utmp17 rotate 118 }19 /yinzhengjie/apache/logs/access_log { ------->这是我源码安装的Apache路径,我们需要给该文件定义轮替。20 daily ----->指定按天轮替21 create ------>轮替的时候直接创建新的22 rotate 30 ------>表示只保留前30天的。23 24 }25 [root@yinzhengjie ~]# 26 [root@yinzhengjie ~]#