第13章 Linux日志管理

1. 日志管理

（1）简介

　　在CentOS 6.x中日志服务己经由rsyslogd取代了原先的syslogd服务。rsyslogd日志服务更加先进，功能更多。但是不论该服务的使用，还是日志文件的格式其实都是和syslogd相兼容的。

（2）rsyslogd的新特点

　　①基于TCP网络协议传输日志信息

　　②更安全的网络传输方式

　　③有日志消息的及时分析框架

　　④后台数据库

　　⑤配置文件中可以写简单的逻辑判断。

　　⑥与syslogd配置文件相兼容

（3）查看rsyslogd服务是否启动：

　　①#ps aux | grep rsyslogd  //是否启动

　　②#chkconfig --list | grep rsyslog  //是否自启动

（4）常见日志的作用

日志文件	说明
/var/log/cron	记录了系统定时任务相关的日志
/var/log/cups/	记录了打印信息的日志
/var/log/dmesg	记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息。
/var/log/btmp	记录错误登录的日志。这个文件是二进制文件，不能直接用vi查看，而要使用lastb命令查看，命令如下：#lastb
/var/log/lastlog	记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件，不能直接vi，而要使用lastlog命令查看。
/var/log/mailog	记录邮件信息
/var/log/message	记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息。如果系统出现问题时，首先要检查的就应该是这个日志文件。
/var/log/secure	记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录。比如说系统的登录、ssh的登录、su切换用户、sudo授权，甚至添加用户和修改用户密码等都会记录在这个日志文件中。
/var/log/wtmp	永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看
/var/run/utmp	记录当前己经登录的用户信息。这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w、who、users等命令来查询。

（5）除了系统默认的日志之外，采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录（源码包安装的服务日志是在源码包指定目录中）。不过这些日志不是由rsyslogd服务来记录和管理的，而是各个服务使用自己的日志管理文档来记录自身日志。

日志文件	说明
/var/log/httpd/	RPM包安装的apache服务的默认日志目录
/var/log/mail/	RPM包安装的邮件服务的额外日志目录
/var/log/samba/	RPM包安装的samba服务的日志目录
/var/log/sssd	守护进程安全服务目录

2. rsyslogd日志服务

（1）日志文件格式（包含4列）

　　①事件产生的时间

　　②发生事件的服务器的主机名

　　③产生事件的服务名或程序名

　　④事件的具体信息

（2）/etc/rsyslog.conf配置文件

①文件内容：

　　　　服务器名称[连接符号] 日志等级    日志记录位置

　　　　authpriv.*                        /var/log/secure   //“.”为连接符号，表示大于等于后面指定的等级。“*”表示所有等级，该语句的意思是把与认证相关服务的所有日志都记录在/var/log/secure文件中。

　　②服务名称

服务名称	说明
auth	安全和认证相关消息（不推荐使用authpriv替代）
authpriv	安全和认证相关消息（私有的）
cron	系统定时任务cront和at产生的日志
daemon	和各个守护进程相关的日志
ftp	ftp守护进程产生的日志
kern	内核产生的日志（不是用户进程产生的）
Local0-local7	为本地使用预留的服务
lpr	打印产生的日志
mail	邮件收发信息
news	与新闻服务器相关的日志
syslog	由syslogd服务产生的日志信息（虽然服务名称己经为rsyslogd，但是很多配置都还是沿用了syslogd的，这里并没有修改服务名）
user	用户等级类别的日志信息
uucp	uucp子系统的日志信息，uucp是早期Linux系统进行数据传递的协议，后来也常用在新闻组服务中。

　　③连接符号

连接符号	说明
* （实际上不是连接符）	代表所有日志等级，如“authpriv.*”代表authpriv认证信息服务产生的日志，所有的日志等级都记录
“.”	代表只要比后面的等级高的（包含该等级）日志都记录下来。比如：“conf.info”代表cron服务产生的日志，只要日志等级大于等于info等级，就记录。
“.=”	代表只记录所需要等级的日志，其他等级都不记录。比如：“*.=emerg”代表用户和日志服务产生的日志，只要等级是emerg等级就记录。这种用法很少见。
“.!”	代表不等于，也就是除了该等级的日志外，其他等级日志都记录。

　　④日志等级

等级名称	说明
debug	一般的调试信息等级
info	基本的通知信息
notice	普通信息，但是有一定的重要性
warning	警告信息，但是还不会影响到服务或系统的运行
err	错误信息，一般达到err等级的信息己经可能影响到服务或系统的运行了
crit	临界状态信息，比err等级还要严重
alert	警告状态信息，比crit还要严重，必须立即采取行动
emerg	疼痛等级信息，系统己经无法使用了

　　⑤日志记录位置：

　　　　A.绝对路径：如“/var/log/secure”

　　　　B.系统设备文件：如“/dev/lp0”

　　　　C.转发给远程主机，如“@192.168.0.210:514”

　　　　D.用户名，如“root”

　　　　E.忽略或丢弃日志，如“~”

3. 日志轮替

（1）日志文件的命令规则

　　①如果配置文件中拥有“dateext”参数，那么日志会用日期来作为日志文件的后缀。如“secure-20170107”。这样的话日志文件名就不会重叠，所以也就不需要日志文件的改名，只需要保存指定的日志个数，删除多余的日志文件即可。

　　②如果配置文件中没有“dateexte”参数，那么日志文件就需要进行改名。当第1次进行日志轮替时，当前的“secure”日志会自动改名为“secure.1”，然后新建“secure”日志，用来保存新的日志。当第2次进行日志轮替时，“secure.1”会被自动改名为secure.2，当前的“secure”日志会自动改名为“secure.1”，然后也会新建“secure”日志用来保存新的日志，以此类推。

（2）logrotate配置文件(/etc/logrotate.conf)

参数	说明
daily	日志的轮替周期是每天
weekly	日志的轮替周期是每周
monthly	日志的轮替周期是每月
rotate 数字	保留的日志文件的个数。0指没有备份
compress	日志轮替时，旧的日志进行压缩
Create mode owner group	建立新日志，同时指定新日志的权限与所有者和所属组。如create 0600 root utmp

（3）将apache日志加入轮替(一般源码包安装的程序才需手工加入日志轮替，RPM包安装的会自动加入)

#vi /etc/logrotate.conf

/usr/local/apache2/logs/access_log{  //用绝对路径写明要加入轮替的日志
    daily
    create
    rotate
}

（4）logrotate命令：#logrotate [选项] 配置文件

选项	说明
-v	显示日志轮替过程。加了-v选项会显示日志轮替的过程
-f	强制进行日志轮替。不管日志轮替的条件是否己经符合，强制配置文件中所有的日志进行轮替。
备注	如果此命令没有选项，则会按照配置文件中的条件进行日志轮替 #logrotate –f /etc/logrotate.conf //强制进行日志轮替