Linux日志服务

一.日志的基本配置

日志服务:管理日志的方法,包括日志的存放位置,日志的轮转,备份

日志存放位置:

1.rpm包安装的服务,日志默认: /var/log

2.源码安装的服务,日志默认: 安装目录下

系统中的日志:

1.系统日志:

/var/log/dmesg 系统启动时进程日志

/var/log/messages 包括系统还有其他服务日志

/var/log/boot.log 启动日志

/var/log/secure 安全日志

2.服务日志:

/var/log/cron 计划任务日志

/var/log/httpd/*_log http服务日志

/var/log/mysqld.log mysql数据库日志

操作系统怎么管理日志: rsyslog

启动服务: systemctl status rsyslog

systemctl start rsyslog

systemctl stop rsyslog

配置文件: /etc/rsyslog.conf

配置文件格式:

AAA.BBB CCC

AAA 产生日志的接口(对象)

BBB 日志级别:

debug 调试

info 正常

notice 稍微注意

warning 警告

err 错误

crit 危机

alert 必须注意

emerg 紧急信息 panic

mail.err 保存err以上级别日志

mail.=err 只保存err级别日志

mail.!=err 除了err级别全保存

CCC 保存日志位置

发送终端

*.info;mail.none;authpriv.none;cron.none /dev/pts/0

发送用户

*.info;mail.none;authpriv.none;cron.none robin

保存到文件

*.info;mail.none;authpriv.none;cron.none /tmp/test.log

当前图形

Fn+ctrl+alt+F2-F6

当前文本

Fn+alt+F2-F6 终端tty

二.日志的集中管理

服务端: 打开接受远程日志

支持tcp协议的514端口

$ModLoad imtcp

$InputTCPServerRun 514

支持udp协议的514端口

$ModLoad imudp

$UDPServerRun 514

[root@localhost ~]# systemctl restart rsyslog



[root@localhost ~]# netstat -anplt

tcp6 0 0 :::514 :::* LISTEN 11728/rsyslogd



[root@localhost ~]# netstat -anplu

udp6 0 0 :::514 :::* 11728/rsyslogd

客户端: 客户定义发送的日志

[root@localhost ~]# vim /etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none @192.168.10.250 #udp协议

或者

*.info;mail.none;authpriv.none;cron.none @@192.168.10.250 #tcp协议



[root@localhost ~]# systemctl restart rsyslog

修改主机名:

[root@localhost ~]# hostnamectl set-hostname client.com

[root@localhost ~]# hostname

client.com

[root@localhost ~]# cat /etc/hostname

client.com

改了主机名必须做主机名解析

[root@localhost ~]# vim /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.251 client.com client

三.日志的轮转

为什么日志轮转或者日志切割?

随着时间推移,日志文件会越来越大,为了避免日志过大,我们要做日志的轮转/切割

[root@localhost logrotate.d]# vim /etc/logrotate.conf
默认日志文件的轮转机制
# rotate log files weekly    #按周轮转  
weekly
# keep 4 weeks worth of backlogs   #保存4份
rotate 4
# create new (empty) log files after rotating old ones   #轮转后创建新日志文件
create
# use date as a suffix of the rotated file  #轮转后的日志扩展名为日期格式
dateext




子配置文件目录 /etc/logrotate.d/

yum日志轮转子配置文件

[root@localhost logrotate.d]# vim /etc/logrotate.d/yum
/var/log/yum.log {
    missingok    # 丢失不提示
    notifempty   # 空日志不切割
    maxsize 30k #
    yearly   #按年轮转
    create 0600 root root  #创建新文件  权限  拥有者 所属组 
}

举例:

[root@localhost tmp]# vim /etc/logrotate.d/test

/home/test.log{

missingok

notifempty

daily

rotate 7

#minsize 10M

#dateext

create 0777 robin robin

}

强制轮转 测试

[root@localhost tmp]# logrotate -f /etc/logrotate.d/test