Linux默认系统日志/爱笑懒猪/log/messages
这是Linux最重要的日志文件。 如果服务未定义日志文件,则服务生成的日志文件将记录在此文件中。 此日志每周归档一次,默认情况下仅保留五次。 所有归档方法都由名为/etc/logrotate.conf的文件控制。 此日志中也有守护程序“rsyslogd”。 如果停止此服务,将不会生成日志。 centos6之前的版本由名为“syslogd”的守护进程管理。 rsyslogd和syslogd文件都位于/sbin/目录下。 “系统日志”
/笑着的懒猪/log/wtmp
在确认用户登录并取消注册信息的同时,记录系统启动、重新启动、关闭等事件。 不是直接在cat上看,而是必须在last上看
/笑着的懒猪/log/btmp
与wtmp类似,但也不能直接在cat上看到。 在lastb中查看并记录用户登录失效的历史记录
/笑着的懒猪/log/maillog
用于记录邮件相关日志。 例如,送哪个,送哪个
/笑着的懒猪/log/secure
它用于记录有关安全认证的信息,只要与用户帐户密码程序有关,就会被记录。 例如,系统登录、ssh登录、su用户切换、sudo许可证、添加用户和更改密码
/笑着的懒猪/log/cron
已记录有关系统计划任务的日志
/笑的懒猪/log/cpus/
记录打印信息的日志
/笑着的懒猪/log/lastlog
记录所有用户的最后登录时间。 只能使用lastlog命令显示
德默斯
出现系统启动日志(直接输入dmesg )。 不能直接做cat。 已记录系统正在开机自检
以RPM方式安装的系统服务也默认记录在/笑的懒猪/log/目录中
/笑的懒猪/log/httpd/
安装RPM软件包的apache服务的默认日志目录
/笑着的懒猪/log/mail/
安装在RPM软件包上的邮件服务的附加日志目录
/笑的懒猪/log/samba/
安装了RPM软件包的samba服务的日志目录
/笑的懒猪/log/sssd/
守护程序安全服务目录
源包的日志位于源包中指定的目录中,这些日志由每个服务使用自己的日志进行管理,而不是由rsyslogd服务进行管理
Linux系统的默认日志文件格式为:事件发生的时间、发生事件的服务器的主机名、发生事件的服务名或程序名、事件的具体信息rsyslogd服务的配置文件说明“/etc /”
格式例如是authpriv.* /经常笑的懒猪/log/secure
服务名称连接符号日志级别的日志记录位置(其中*表示将在线发送到任何人) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) )的
这里的记录位置如下。
日志文件的绝对路径,例如“/笑的懒猪/log/secure”
系统设备文件,如/dev/lp0
传输到远程主机,如@192.168.1.1:514
用户名,如“根”
忽略或销毁日志,如“~”
名称:与auth安全和验证相关的消息(不建议使用authpriv代替)。
authpriv安全和认证相关消息(
cron系统调度任务crond和at生成的日志
ftpftp守护进程生成的日志
kern内核生成的日志(不是由用户进程生成的)
Local1使用本地保留的服务
lpr打印日志
收发邮件
news新闻服务器相关日志
syslog包含由syslogd服务生成的日志。 服务名称已更改为rsyslogd,但许多配置继承了syslogd,此处未更改服务名称
由user用户程序生成的日志信息
uucpuucp子系统日志信息。 uucp是早期linux系统进行数据传输的协议,此后在新闻组服务中也经常使用
级别:级别越高,记录的信息越少,调试信息,如重要的调试信息
info基本通知信息
notice最重要的一般条件信息记录(具有一定重要性) ) ) ) ) ) )。
警告消息日志(一般不影响服务或系统行为) ) )。
err错误信息的记录一般可能会影响达到err水平的信息和服务或系统的动作
crit的严重错误比err更严重。 (整个系统可能无法工作。 )
alert比crit更严重,需要立即纠正
emerg达到了这个水平,基本系统崩溃了
none什么都不记录
连接符号:
*表示所有日志级别。 例如,“authpriv.*”表示authpri
v认证信息服务产生的日志,所有的日志等级都要记录.代表只要比后面等级高的(包含该等级)日志都要记录,比如:“cron.info”代表cron服务产生的日志,只要大于等于info这个等级的都要记录
.=代表只记录与后面日志等级相同的日志,其它都不记录,比如“*.=emerg”代表所有服务产生的日志,只要等级是emerg的就记录
.!代表不是后面的等级,也就是除外的日志,都记录比如“kern.!debug”代表只要是kern产生的日志信息,除了debug外其它所有的都要记录
日志轮替日志文件的命名规则如果配置文件中拥有“dateext”参数,那么日志会用当前日期来作来日志文件的后缀,例如“secure-20151211”
如果日志中没有“dateext”这个参数,那么比如当前secure这个日志会自动改名为secure.1”然后再新建一个“secure”用来保存新的日志,也就是数字越大,历史越久
配置文件路径:“/etc/logrotate.conf”
参数解释:
daily 日志的轮替周期是每天
weekly 日志的轮替周期是每周
monthly 日志的轮替周期是每月
rotateN保留的日志文件的个数,0指的没有备份
compress 日志轮替时,旧的日志进行压缩
create mode owner group
建立新日志,同时新日志的权限与所有和所属组
mail address 当日志轮替时,输出内容通过邮件发送到指定的邮件地址
missingok 如果日志不存在,则忽略该日志轮替
minsize大小 日志轮替的最小值,也就是日志一定要达到这个大小才会轮替
size大小 日志只有大于指定大小才进行日志轮替,而不是按照时间轮替,如:size 100K
dateext 使用日期作为日志轮替的后缀
copytruncate 对日志文件采用先copy再截断的处理
配置文件解释配置文件在花括号以外的参数都是全局配置,但是如果花括号以内的参数与以外的参数有重要,那么以,花括号以内的参数为准
只要是RPM包安装的服务的日志一般都支持轮替,但是源码包安装的服务不支持,需要手工修改这个配置文件的加入进去,比如把apache日志加入轮替,在/etc/logrotate.conf这个文件的最后加下以下内容/usr/local/apache2/logs/access_log{
monthly
copytruncate
create 0664 root utmp
minsize 1M
rotate 1
}
logrotate命令
格式:logrotate [选项]配置文件名
常用选项有:
-v 显示日志轮替过程
-f 强制进行日志轮替,不管有没有达到轮替的条件
如果没有加选项,则会按配置文件中的条件进行日志轮替