Gestión de registros de Linux
Para el personal de operación y mantenimiento, no importa qué sistema se administre, el monitoreo, las llamadas y la administración de los archivos de registro son una parte importante del mismo. La resolución de los problemas del servidor comienza con la visualización del registro (de errores) del sistema. En este artículo, veremos la administración de registros en sistemas Linux.
Introducción a la gestión de registros
Introducción a los registros
El registro del sistema es un archivo que registra información diversa, como comprobaciones del hardware del sistema, acciones del kernel, inicios de software y acciones del usuario. A través del registro del sistema, puede juzgar el estado de salud del sistema, detectar problemas del sistema, encontrar evidencia de ataques, etc.
Servicio de registro en el sistema Linux
Los registros del sistema más antiguos se syslog
completan principalmente con servicios, y los sistemas más nuevos se reemplazan por rsyslog
servicios más potentes syslog
, pero los métodos de operación de los dos son básicamente los mismos.
Verifique si el servicio de registro está habilitado, use systemctl
comandos para verificar e iniciar el servicio
#查看服务是否启动
systemctl list-units | grep rsyslog
#若没有启动,则启动服务
systemctl start rsyslog.service
Registros comunes y sus funciones
El registro del sistema de Linux se almacena principalmente en el /var/log
directorio.Los archivos principales y sus funciones se enumeran en la siguiente tabla.
Nombre del archivo de registro | efecto |
---|---|
cron | Registros relacionados con las tareas de sincronización del sistema |
tazas | Imprimir registro de información |
dmesg | Registre la información de autocomprobación del kernel de arranque del sistema, use el dmesg comando para ver |
btmp | Registro para iniciar sesión en mensajes de error (los archivos binarios no se pueden ver con vim, use lastb comandos) |
wtmp | Registre el registro de información de inicio de sesión, cierre de sesión y apagado (tampoco se puede ver con vim, use last comandos) |
lastlog | Registre la última hora de inicio de sesión de cada usuario, use el lastlog comando para ver |
Registro electrónico | Registrar la información del correo |
masajes | Registre la mayor parte de la información importante del sistema; si hay algún problema, consulte este archivo (información de nivel de registro, que se menciona a continuación) |
seguro | Registrar información relacionada con la verificación y autorización, principalmente relacionada con las cuentas de usuario y la autorización |
Además, algunos servicios de aplicaciones instalados en el sistema registrarán registros en este directorio de forma predeterminada, pero en lugar de utilizar la rsyslog
administración de servicios, las aplicaciones tienen sus propios servicios de administración de registros. El registro del servicio de la aplicación instalado a través del paquete fuente se registra en su directorio de instalación
Formato de archivo de registro
El formato de registro básico contiene principalmente cuatro tipos de contenido
- Hora del evento
- Nombre de host donde ocurrió el evento
- El servicio o programa (o kernel) donde ocurrió el evento, incluido el PID del proceso.
- Contenido del evento
Configuración de rsyslog del servicio de gestión de registros
Formato de configuración del servicio de gestión de registros
rsyslog
El archivo de configuración del servicio es/etc/rsyslog.conf
Formato de archivo de configuración: nombre del servicio [símbolo de conexión] nivel de registro ubicación del registro de registro
entre ellos:
-
El nombre del servicio es el nombre del servicio instalado en el sistema. Si varios nombres de servicios usan el mismo nivel, pueden separarse con comas.
-
Entre dos reglas (utilizadas principalmente para la exclusión), use un punto y coma para separar, consulte el ejemplo para obtener más detalles
-
El símbolo de conexión se muestra a continuación y el nivel de registro también se muestra a continuación.
-
La ubicación del registro no es solo la ruta absoluta del archivo, existen las siguientes formas
Ubicación de registro Descripción de la muestra Ruta de archivo absoluta / var / log / messages Archivo de dispositivo del sistema / dev / lp0 (Usar salida de impresora) Reenviar a host remoto @ 192.168.0.2: 123 nombre de usuario root o * (significa todos los usuarios) Ignorar registro (no grabar) ~
Nombre del servicio principal para la gestión del servicio de registro
Nombre del Servicio | Descripción |
---|---|
auth | Información de autenticación y seguridad de la cuenta de usuario (diferente de authpriv) |
authpriv | Información de autenticación y seguridad de la cuenta de usuario (privada) |
cron | Tarea de sincronización del sistema |
demonio | Varios demonios |
ftp | Registros relacionados con el demonio ftp |
kern | El kernel genera registros |
lpr | Imprimir registro |
correo | Registro de envío y recepción de correo |
Noticias | Registros relacionados con el servidor de noticias |
syslog | Registros generados por el servicio rsyslog |
usuario | Registro de categoría de usuario |
Conector del archivo de configuración del servicio de registro
Carpintero | Descripción |
---|---|
* | Representa todos los niveles de usuario |
. | Los registros con un nivel superior (incluido) que el nivel de registro dado más adelante se registrarán |
. = | Calificación igual a la dada más tarde |
.! | La nota no es igual a la que se da después |
Nivel de registro
Los niveles de registro aumentan de arriba a abajo
Nivel de registro | Descripción |
---|---|
depurar | Información general de depuración |
info | Información de notificación básica |
aviso | Información de atención general |
advertencia | Mensaje de advertencia general, actualmente no tiene ningún efecto en el funcionamiento del sistema, pero pueden ocurrir problemas en el futuro |
errar | Mensaje de error, que puede afectar algunas funciones del sistema |
critico | error crítico fatal, más grave que el mensaje de error |
alerta | Información de estado de advertencia, si no se procesa, puede causar daños al sistema |
emerg | Sistema no disponible |
Además, .none significa que no se registra ningún registro y generalmente se usa en situaciones de exclusión.
Ejemplo de configuración del servicio de registro
auth,authpriv.* /var/log/auth.log #逗号分隔表示两个服务同样等级,都为所有
*.*;auth,authpriv.none -/var/log/syslog #所有服务的所有信息,但排除了上面两个服务
Rotación de registros
Si todos los registros desde el principio se registran en un archivo, inevitablemente provocará una lectura y escritura más lentas, aumentará la ocupación e incluso aumentará el riesgo de perder todos los registros debido a daños en un solo archivo. Para resolver este problema, el sistema Linux adopta el método de rotación de registros, cortando y empaquetando los registros de un período de tiempo atrás en otro archivo de almacenamiento, y el archivo de registro principal comienza a grabar desde un nuevo comienzo.
Reglas de nomenclatura (rotación) de archivos de registro
- Si hay un parámetro de "texto de datos" en el archivo de configuración, el registro utilizará la fecha como sufijo del archivo, el nombre del archivo de registro no se superpondrá y no se cambiará el nombre del archivo antiguo.
- Sin este parámetro, se cambiará el nombre del archivo de registro. Cuando se habilita un archivo nuevo, por ejemplo
messages
, se cambiará el archivo antiguo, se cambiarámessages.1
elmessages.1
archivo originalmessages.2
, etc., se puede comprimir el archivo prematuro y se eliminará el archivo antiguo que exceda el número de serie máximo.
El archivo de configuración de la rotación de registros es /etc/logrotate.conf
, y la información específica también se puede guardar en el /etc/logrotate.d
directorio, en el que se puede configurar la información de rotación de registros; man logrotate
consulte la ayuda para obtener parámetros específicos
parámetro | Descripción |
---|---|
diario | Rotar por día |
semanal | Rotar por día |
mensual | Rotar por mes |
rotar n | n es un número, la cantidad de archivos de registro que se conservarán, 0 significa que no hay respaldo |
comprimir | Comprimir registros antiguos |
crear [modo] [propietario] [grupo] | Cree un nuevo modo de permiso de registro, propietario y grupo, como crear 0640 root adm |
La configuración de archivos específicos debe incluirse en una sintaxis especial, por ejemplo,
# no packages own wtmp -- we'll rotate it here
/var/log/wtmp {
missingok
monthly
create 0664 root utmp
minsize 1M
rotate 1
}
Utilice llaves para encerrar la configuración después del nombre de archivo específico. Las siguientes configuraciones solo tienen efecto para un archivo.