介绍日志文件是重要的系统信息文件,记录了很多重要的系统信息。 其中包括用户登录信息、系统启动信息、系统安全信息、邮件相关信息和各种服务相关信息等。 日志对安全也很重要,它记录系统每天发生的各种事情,通过日志检查错误的原因,以及攻击者在受到攻击时留下的痕迹。 这样,日志是记录重大事件的工具。 系统常用的日志/var/log目录是系统日志文件的存储位置。
日志管理服务日志服务是后台程序,用于记录相关日志。
centos7.6日志服务为rsyslogd,centos6.x日志服务为syslogd。
rsyslogd功能更强大,与rsyslogd的使用、日志文件格式和syslogd服务兼容。
询问Linux中的rsyslogd服务是否要启动psaux。 rsyslogd服务自启动状态systemctllist-unit-files|greprsyslog 333
编辑文件时的格式是保存*.*日志文件。 第一个*表示日志类型,第二个*表示日志级别
其中,日志类型:
auth # pam生成的日志验证登录信息(如authpriv # ssh和ftp )的信息corn #时间任务相关kern #内核lpr #打印邮件高贵的鱼(syslog(-rsyslog )服务内部的信息时间Nene 标识用户程序生成的相关信息uucp # unix to nuix copy主机之间的相关通信local 1-7 #自定义日志设备日志级别。
如果有调试信息,日志通信可以是最大info #常规信息日志、最常用的通告#最重要的常规条件信息warning #警告级别err #错误级别、某些功能或模块无法正常工作的信息crit # 严重级别阻止整个系统或整个软件无法正常工作的信息alert #不记录需要立即修改的信息emerg #内核崩溃等重要信息none #。注意:从上到下,从低到高,记录信息少日志服务rsyslogd记录的日志文件。 日志文件的格式包括在事件发生时发生事件的服务器的主机名以及发生事件的服务名或程序名事件的具体信息配置文件:
示例:将日志文件/var/log/hsp.log添加到/etc/rsyslog.conf,并在发送事件(如sshd服务相关事件)时接收和保存信息。
日志创建介绍日志创建是移动和重命名旧日志文件,同时创建新的空日志文件,并在旧日志文件超出保留范围后将其删除。
登录文件名centos7使用logroatate进行登录管理。 要重命名日志旋转文件,请使用/etc/logrotate.conf配置文件中的“dateext”参数。 如果配置文件具有" dateext "参数,则日志将使用自定义日志服务作为日志文件的后缀,如" secure-20201010 "。 这样,日志文件名不重叠,也不需要重命名日志文件,只要指定要保存的日志个数,删除多馀的日志文件即可。 如果配置文件没有" dateext "参数,则必须重命名日志文件。 第一次轮换日志时,当前的“安全”日志将自动重命名为“安全. 1”,并创建新的“安全”日志以保存新的日志。 第二次轮换日志时," secure.1 "将自动重命名为" secure.2 ",而当前的" secure "日志将自动重命名为" secure.1 "。 然后,还会创建新的“安全”日志以保存新日志。
说明:也可以将某个日志文件的轮换规则写入/etc/logrotate.d目录中。
logrotate配置文件参数说明:
将自己的日志添加到日志轮换的第一种方法是直接将日志轮换策略写入/etc/logrotate.conf配置文件。 另一种方法是在/etc/logrotate.d目录中创建新的日志轮换文件,并将正确的轮换策略写入该轮换文件。 这是因为目录中的文件被“包含”在主配置文件中。 推荐。 管理维护很容易。 日志记录机制原理日志记录可以在指定时间备份日志,这取决于系统计划任务。 在/etc/cron.daily/目录中,可以看到此目录包含logrotate文件,logrotate通过该文件依赖于计划任务运行。
查看内存日志内存日志(重新启动并清空),内存中剩余的日志在重新启动后将变为空。
日记账CTL可以显示内存日志。
常规命令:
journalctl #显示所有journalCTL-n3显示最新的三个journalctl #-- since 19336000---until 19336010336010 #开始时间到结束时间的日志日期journal CTL 错误日志journalctl -o verbose #日志详细信息journalctl _PID=1245 _COMM=sshd #显示包含这些参数的日志(在详细日志中显示)或journalCTL|gomm