日志文件
日志基础
日志:记录系统中硬件、软件和系统问题的信息
1)日志包括系统日志、应用程序日志和安全日志
2)日志文件的权限的设置通常是仅root可读取
3)日志文件便于系统管理员查找系统服务问题、网络服务问题和应用程序问题
Linux中常见日志文件:
| 日志文件名 | 含义 |
|---|---|
| /var/log/boot.log | 记录开机时系统内核和硬件启动流程信息 (仅存储本次开机启动的) |
| /var/log/cron | 记录循环计划任务相关信息 (如:该任务是否被执行和执行是否出错等) |
| /var/log/dmesg | 记录开机时系统内核检测过程中的各项信息 (Centos默认开机时不显示内核检测过程) |
| /var/log/lastlog | 记录系统上所有用户最近一次登录系统的相关信息 (lastlog命令本质就是读取该文件的数据) |
| /var/log/maillog | 记录邮件的相关信息(主要记录postfix和dovecot) (/var/log/mail目录具有相同作用) |
| /var/log/messages | 记录系统中几乎所有发生报错的信息 |
| /var/log/secure | 记录所有使用用户名和密码验证登录的信息 不论是否登录成功都记录下(login、su和ssh等) |
| /var/log/wtmp | 记录正确登录系统的用户信息 last命令本质就说读取该文件的数据 |
| /var/log/faillog | 记录拒绝登录系统的用户信息 |
| /var/log/httpd /var/log/samba | 网络服务也有同名目录存储其日志文件记录各项信息 如:/var/log/httpd、/var/log/samba和/var/log/dhcp |
Linux主要通过3个服务/程序管理日志文件:
1)** systemd-journald.service**:记录系统信息存入内存(读写性能较好)
//由Systemd提供,系统中所有由Systemd管理的服务,其产生的各项信息都由systemd-journald.service以二进制形式记录,再转交rsyslog.service进一步记录
2)** rsyslog.service**:以文件形式记录系统服务和网络服务等各项信息
//Linux的日志文件主要是由rsyslog.service负责管理
3)** logrotate**:实现日志文件的轮循功能
日志文件内容的主要构成(不同类型日志文件存在差异):
事件发生的时间 事件发生的主机名 事件相关的服务/命令/函数 实际内容
如:查看记录用户验证登录的/var/log/secure日志文件内容
//第一行:在08/17的18:38:06时,study用户登录系统,通过pam_unix模块配置其相关权限;
//第二行:在08/17的18:38:06时,root通过login程序在tty1登录。
rsyslog.service
rsyslog.service:Linux主要日志文件管理服务
1)rsyslog.service配置文件:/etc/rsyslog.conf
如:查看当前系统中的rsyslog.service服务(是否开机自启)
如:查看/etc/rsyslog.conf配置文件
配置格式:服务名 连接符号 信息等级 信息存储点
1)服务名、连接符号和信息等级三者之间没有空格分隔
2)具体配置内容主要为框内内容(框外为全局配置)
3)一行即为一项配置
rsyslog.service服务通过Linux内核提供的syslog规范来设置日志数据的分类,其中syslog自带部分数据分类,如:
| 序号 | 服务类型 | 含义 |
|---|---|---|
| 0 | kern | 记录内核(kernel)产生的信息 |
| 1 | user | 记录用户产生的信息 |
| 2 | 记录邮件相关的信息 | |
| 3 | daemon | 记录系统服务产生的信息 |
| 4 | auth | 记录验证登录相关的信息 |
| 5 | syslog | 记录syslog相关协议的信息 |
| 6 | lpr | 记录打印相关的信息 |
| 7 | news | 记录新闻组服务器相关的信息 |
| 8 | uucp | 记录UNIX系统间程序交换数据的信息 UNIX to UNIX Copy Protocol |
| 9 | cron | 记录计划任务相关的信息 |
| 10 | authpriv | 记录与auth类似,记录更多信息 (包括pam模块运行等) |
| 11 | ftp | 记录FTP通讯协议相关的信息 |
| 12~23 | local0~local7 | 保留给系统使用 |
//软件开发商可通过这些服务类型实现记录自己软件的各项信息
如:邮件相关软件在开发时,就可指定该软件的日志文件记录数据类型为mail,就会主动调用syslog内的mail服务
同一个服务所产生信息等级是不同的,Linux内核的syslog将信息分为8个等级
| 信息等级 | 等级名称 | 含义 |
|---|---|---|
| 7 | debug | 用来debug时产生的信息 |
| 6 | info | 基本信息说明 |
| 5 | notice | 正常信息 |
| 4 | warning (warn) | 警示信息 但不影响服务的正常运行 |
| 3 | err (error) | 重大错误信息 如:配置文件出错导致服务无法启动 |
| 2 | crit | 比err更严重的错误信息 |
| 1 | alert | 比crit更严重的错误信息 |
| 0 | emerg (panic) | 最严重的错误信息 大概率为硬件出问题(几乎宕机状态) |
1)0~6之间,数值越高代表服务越稳定
//两个特殊等级:debug(错误检测等级)和none(无需登录等级)
通过三个连接符号实现对不同信息等级的记录:
| 连接符号 | 含义 |
|---|---|
| . | 代表比该等级数值低的都需记录 如:mail.info代表与mail相关的信息, 且信息等级低于6(包含6)都需被记录 |
| .= | 代表仅记录该等级数值 |
| .! | 代表不等于该等级数值的都需记录 |
信息存储点:日志信息则可记录至文件、设备和其他主机中(日志文件系统)
1)文件路径:通常存储在/var/log目录下的文件中;
2)设备:存储在类似/dev/lp0打印机设备中;
3)用户名:显示至指定用户的终端;
4)主机名:存放至远程主机中(对方主机需支持);
5)*:显示至所有在线用户的终端
//信息存储点为文件时,该日志文件若被修改过(仅打开则无影响)则无法继续记录信息,可重启rsyslog.service服务使该日志文件恢复,为预防此类错误,日志文件一般设置“a”隐藏权限
如:将news和cron类所有信息写至/var/log/cronnews,同时将news和cron类警示信息写至/var/log/cronnews.warn
//手动配置文件后,需重启rsyslog.service服务/重读配置文件才可生效
如:除cron、mail和news类信息之外,将所有信息写至/var/log/messages
其他写法:*.*;corn,mail,news.none
/var/log/messages
1)使用“,”分隔时,若指定的相同信息等级,只需最后一个即可
2)使用“;”分割时,每个服务都需要指定对应的信息等级
3)“-”代表:信息先存入内存缓冲区(buffer)中,待数据量达到指标后,一次性将所有数据写入磁盘
日志文件服务器
日志文件服务器:通过rsyslog.service服务实现记录其他主机日志文件
1)Centos7默认安装rsyslog的日志文件服务器功能(默认不启动)
2)Server端和Clint端的rsyslog.service配置方式不一样
//实现日志文件不在本机保留,直接传输到日志文件服务器中
(1)Server端配置:开启服务和指定接受方式
如:修改/etc/rsyslog.conf使Server端以TCP方式接受文件
//修改后,需重启服务/重读配置文件才能生效
(2)Client端配置:指定传输地址和传输方式
1)内容格式:服务名 连接符号 信息等级 传输方式 传输地址
2)服务名、连接符号和信息等级三者之间没有空格分隔
3)传输方式和传输地址两者之间没有空格分隔
4)传输方式分为:@(UPD)和@@(TCP)
5)传输地址为Server端的IP地址
如:修改/etc/rsyslog.conf使Client端所有信息以TCP方式传输到Server端,Server端的IP为:192.168.1.100
logrotate
logrotate:自动化处理日志文件的轮循功能
1)rsyslog.service是由Systemd管理的,可立即执行,而logrotate是由cron管理的,需触发条件才可执行(/etc/cron.daily/logrotate记录系统每天的轮循工作)
轮循:实现日志文件自动更新与备份
//一个日志文件存放过多的数据(文件容量过大)导致读写效率下降(不安全),就需对日志文件进行更新与备份:使旧的日志文件改名,再建立与原名同名的日志文件继续存放数据;而旧的日志文件在保存一定时间后就删除
如:某类日志文件轮循效果,仅能保留4次备份数据
1)第一次轮循后,messages变成messages.1,建立空的messages存储系统数据;
2)第二次轮循后,messages.1变成messages.2,messages变成messages.1,建立空的messages存储系统数据;
3)第三次同理,会出现messages.3;
4)第四次,则会删除messages.3,再使messages.2变成messages.3;
logrotate配置文件:/etc/logrotate.conf文件和/etc/logrotate.d目录
1)前者为logrotate的全局设置(默认值),而后者实现针对性设置
2)/etc/logrotated.d目录下所有文件都会被调入/etc/logrotate中使用
3)同样设置参数中/etc/logrotate.d目录下的文件优先级高于/etc/logrotate.conf
//在/etc/logrotate.d目录下,可同服务名配置服务自定义的轮循设置
如:查看/etc/logrotate.conf
//大部分的日志文件都不需要压缩(httpd需要压缩)
如:查看/etc/logrotate.d目录和/etc/logrotate.d/syslog文件
/etc/logrotate.d目录下文件内容格式:
日志文件路径1
日志文件路径2
日志文件路径3
……
{
参数1
参数2
sharedscripts
命令脚本1
命令脚步2
命令脚步3
……
endscript
参数3
……
}
1)轮循的参数必须使用“{}”括起来
2)执行外部命令需使用执行脚本:sharedscripts……endscript
//prerotate参数:声明在logrotate前进行的命令
//postrotate参数:声明在logrotate后进行的命令
如:实现自定义轮循
1)建立/var/log/admin.log日志文件,并配置+a隐藏权限;
2)在/etc/logrotate.d目录建立logrotate配置文件,并配置;
3)强制执行轮循一次(不满一个月,且不大于10M),并查看效果
logrotate命令:执行日志文件的轮循操作
指令格式:logrotate 选项 日志文件路径
| 选项 | 含义 |
|---|---|
| -v | 显示执行过程 |
| -f | 强制执行轮循操作 |
systemd-journald.service
systemd-journald.service:记录系统信息存入内存(读写性能较好)
1)配置文件:/etc/systemd/journald.conf
//由于systemd-journald.service由Systemd提供和管理,且Systemd是开机执行的第一个程序,所以systemd-journald.service可记录开机启动过程中的所有信息和服务启动情况等,再传递给rsyslog.service记录到磁盘中
journalctl命令:查看系统日志数据
指令格式1:journalctl 选项
1)无选项,则默认显示系统所有日志数据
| 选项 | 含义 |
|---|---|
| -n N | 显示最后N行数据 |
| -p 信息等级 | 显示指定信息等级的数据 |
| -r | 反向输出 默认输出为最旧信息到最新消息 |
| -f | 仅查看最后10行 |
指令格式2:journalctl 选项
| 选项 | 含义 |
|---|---|
| --since 时间1 --until 时间2 | 显示从时间1到时间2日志数据 |
| _SYSTEMD_UNIT=服务名 | 显示指定服务的日志数据 |
| _COMM=命令 | 显示指定命令的日志数据 |
| _PID=N | 显示与PID为N有关的日志数据 |
| _UID=N | 显示与UID为N有关的日志数据 |
| SYSLOG_FACILITY=服务类型 | 显示指定服务类型的日志数据 |
logger命令:使终端输入的数据传输到日志文件中
指令格式:logger 选项 “信息”
| 选项 | 含义 |
|---|---|
| -p | 指定“服务名 连接符号 信息等级”格式 |
| -s | 同时输出到终端 |
如:将“I will check logger comman”输出到终端和日志文件中
logwatch工具:Centos7默认的日志分析工具,每天对日志数据进行一次分析
1)并将分析结果以email格式发送给root
2)logwatch需自行安装(yum install 挂载点/Packages/perl-5.*.rpm)
3)logwatch安装完成后会属于cron管理,定期分析日志数据
//也可直接“/etc/cron.daily/0logwatch”直接分析