日志基本介绍日志是用来记录重大事件的工具。
日志文件是重要的系统信息文件,其中记录了很多重要的系统事件。包括用户的登录信息,系统的启动信息,系统的安全信息,邮件相关信息,各种服务相关信息。
日志对于安全来说也很重要,它记录了每天系统发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。
日志管理服务*. * 第一个 *代表日志类型 第二个 *代表日志级别
*代表全部的意思
日志类型分为:
auth
pam产生的日志
authpriv
ssh,ftp等登录信息的验证信息
corn
时间任务相关
kern
内核
lpr
打印
邮件
mark(syslog)-rsyslog
服务内部的信息,时间标识
news
新闻组
user
用户程序产生的相关信息
uucp
unix to nuix copy 主机之间相关的通信
local 1-7
自定义的日志设备
日志级别分为:
debug
有调试信息的,日志通信最多
info
一般信息日志,最常用
notic
最具有重要性的普通条件的信息
warning
警告级别
err
错误级别,组织某个功能或者模块不能正常工作的信息
crit
严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert
需要立刻修改的信息
emerg
内核崩溃等重要信息
none
什么都不记录
注意:从上到下,级别从低到高,记录信息越来越少。
查询Linux中的 rsyslogd 服务是否启动
代码语言:javascript代码运行次数:0运行复制ps aux | grep “rsyslog” | grep -v “grep”查询rsyslog 自启动状态
(保证日志服务为自启动状态)
代码语言:javascript代码运行次数:0运行复制systemctl list-unit-files | grep rsyslog
由日志服务rsyslogd 记录的日志文件,其格式包含一下4种
1.事件产生的时间
2.产生事件的服务器的主机名
3.产生事件的服务名或程序名
4.事件的具体信息
日志轮替日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后,就会进行删除。
logrotate配置文件
参数
参数说明
daily
日志的轮替周期是每天
weekly
日志的轮替周期是每周
monthly
日志的轮替周期是每月
rotate 数字
保留的日志文件的个数。0没有备份
compress
日志轮替时,旧的日志进行压缩
creat mode owner group
建立新日志,同时指定新日志的权限与所有者和所属组
mail address
当日志轮替时,输出内容通过邮件发送到指定的邮件地址
missingok
如果日志不存在时,则忽略该日志的警告信息
notifempty
如果日志为空文件则不进行日志轮替
minsize 大小
日志轮替的最小值,也就是日志一定要达到这个最小值才会轮替,否则就算时间到达也不会轮替
size 大小
日志只有大于指定大小才进行日志轮替,而不是按照时间轮替
dateext
使用日期作为日志轮替文件的后缀
sharedscripts
在此关键字之后的脚本只执行一次
prerotate/endscripts
在日志轮替之前执行脚本命令
postrotate/endscripts
在日志轮替之后执行脚本命令
日志轮替机制原理:
日志轮替之所以在指定的时间备份日志,是依赖系统定时任务。
在/etc/cron.daily/目录,就会发现这个目录中是有logrotate文件(可执行)
logrotate通过这个文件依赖定时任务执行。