記事ディレクトリ
ログサービス
1.ログサービスログ(rsyslog 514)
1.ログの重要性
ログの分類:システムログ、プロセスログ、アプリケーション
ログログの使用:トラブルシューティング、イベントのトレース、統計トラフィック、セキュリティ動作の監査
2.共通システムログ/ var / log
共通ログファイル(システム、プロセス、アプリケーション)
tailf / var / log / messages //システムのメインログファイルのテールの動的ビュー
tailf / var / log / secure //システムの動的ビュー認証およびセキュリティログファイル
のテール/ var / log / cron //スケジュールされたタスクログファイルのテールの動的ビューtailf / var / log /
yum.log // yumログファイルのテール
バイナリログの動的ビュー(直接表示は文字化けします、 (上記の対応するコマンドで表示)
w //現在ログインしているユーザーは次の
とおりです
。/var/log/wtmploglast//最後にログインしたユーザー/ var / log / btmplastlog //すべてのユーザーのログインステータス/ var / log / lastlog
プロセス独自の方法でログインします
。tail
/ var / log / mysqld.log // MySQLプロセスによって記録されたログtail / var / log / httpd / access_log // Apacheによって記録されたログ
tail / var / log / xferlog //およびFTPサーバー関連へのアクセス
3.ログ構成ファイルの分析
ログの保存場所:ローカルの/ var / log
ログサービスの起動を
保存します:systemctl start rsyslogログ構成ファイル:/etc/rsyslog.conf
ログサービスのデフォルトは自動的に開始します
カスタムログ:ログの名前と場所を自分で定義します。
ログファイルを表示するには、次のようにします。systemctlstatus rsyslog
vim / etc / rsyslog.conf →
ログインクルードのメイン構成ファイルには、/ etc / rsyslog.d / *。conf →ログのサブ構成が含まれます。ファイル
ログオブジェクト。ログレベルのログ保存場所
facility.priorityログ
パスファシリティ英語[fəˈsɪləti] US [fəˈsɪləti] n。ファシリティ; set(ログオブジェクト)
priority英語[praɪˈɒrəti] US [praɪˈɔːrəti]n。priority(ログレベル)
ログおよびログレベルのオブジェクトは、man 5で表示できます。rsyslog.conf検索/メール
ログオブジェクト:
authPriv(認定された安全性)cron(スケジュールされたタスク)kern(カーネル)mail
local0からlocal7(ログファイルは自分で定義します)
ログレベルは
低レベルです。詳細には、低いものには高いログレベルの
通知が含まれています:
警告警告/警告と同等:警告、エラー
エラー/エラー:エラー、重大なエラー
*すべてのレベル
================================================== ======
実験操作1:カーネルログファイルを/var/log/kern.logにカスタマイズします
rsyslog.conf
[root @ rsyslog- server〜] #vim / etc / rsyslog.conf
ログオブジェクトのログルールRULESモジュールを変更します。ログレベルのログストレージパス
がRULESモジュールに追加されます:kern。* / var / log / kern。 log
[root @ rsyslog-server〜] #systemctl restartrsyslog
ログファイルも作成できません。ログ情報があると自動的に作成されます
================================================== =======
実験操作2、sshログを別のディレクトリに定義します
local0-local7ログ機器の使用:ssh構成ファイル:/ etc / ssh / sshd_config
サービスはログによって記録されたファシリティ(ログオブジェクト)を変更し、rsyslogは関連サービスファシリティ
①のfacility.priorityログパスを変更し、sshdサービスのメイン構成ファイルを変更します:
[ root @ rsyslog- server〜] #vim / etc / ssh / sshd_config
#ロギング
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
SyslogFacilityAUTHPRIVがSyslogFacilitylocal2(local0-local7)に変更されました
SyslogFacility local2 // local2デバイスによって記録されるsshログ定義を設定します
[root rsyslog-server〜] #systemctl restartsshd②
、rsyslog
/ var / log / ssh
[root @ rsyslog- server〜] #vim /etc/rsyslog.conf [root @ rsyslog-serverのメイン構成ファイルにlocal2。*を追加し
ます〜] #systemctl restart rsyslog
サービスは、ログが生成された後、指定されたログファイルの場所に対応するログレコードを生成します
================================================== ========
実験操作3:リモートログ、送信者、受信者
リモートログ:
2台のマシン:1台はログを受信し、もう1台はログを送信します
。ログサーバーは収集ログサーバーのIPを指定し、収集ログサーバーはログ受信機能を開きます。
ログサーバーを生成します:
[root @ log-sending〜] #vim /etc/rsyslog.conf
*.* @10.11.67.31 //注意@:使用udp @@:使用tcp
最初の*は別のものに変更でき、設定は指定されたサービスログのみを受け入れる
kern.* @10.11.67.31
local0.* @10.11.67.31
[root @ log-sending〜] #systemctl restart rsyslog
ログ収集サーバー
[root @ log-receive〜] #vim /etc/rsyslog.conf構成ファイルを変更して、ログ受信機能
MODULESモジュールを有効にします。
打开@udp接收功能
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
打开@@tcp接收功能
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
[root @ log-receive〜] #systemctl restart rsyslog
[root @ log-receive〜] #tailf / var / log / messages //システムのメインログファイルを介してリモート受信を表示します
ログレシーバーでのリモートログの保存場所をカスタマイズする場合
[root @ log-receive〜] #vim /etc/rsyslog.conf
syslog.* /mnt/receive.log
[root @ log-receive〜] #systemctl restart rsyslog
[root @ log-receive〜] #tailf /mnt/receive.log
==================================================
2、logrotateログローテーション(カッティング)
①。ログローテーションがない場合、ログファイルが どんどん大きくなり、最終的にログを開くことができなくなったり、開く時間が長すぎたりし
ます
。②システム内で最も古いログファイルを破棄してスペースを節約します。③Logrotate自体はシステムプロセスではありません。つまり、ログのローテーションは自動的には実行されません。対応する構成ファイルに書き込み、スケジュールされたタスクcrond④を使用して毎日実行されます。
ログを切り取るには、彼のルールを定義するだけで済みます。
[root @ logrotate〜]
#rpm -qa | grep logrotate logrotate-3.7.8-16.el6.x86_64
Logrotateは異種であり、インストール後に使用できます。
システムはデフォルトでインストールされ、インストールせずにインストールします。このプログラムのインストール後は、サービスを開始する必要はありません。変更後、構成ファイルに書き込んだ後、自動的に実行されます。
Logrotate構成ファイル:メイン構成ファイルはグローバルログローテーションルールを決定し、サブ構成ファイルは特定のサービス(rpmインストールプログラム)のログローテーションルールを決定します。
サービスログのローテーションルールファイルは、rpmパッケージのインストール時に、手動で書き込むことなく自動的に提供されます。 、自分で作成したログファイルのみログローテーションルールファイルを自分で書き込む必要があります
Logrotateメイン構成ファイル:[root @ logrotate〜] #vim /etc/logrotate.conf
logrotateサブ構成ファイル:[root @ logrotate〜]
#ls /etc/logrotate.d/ chrony ppp wpa_supplicant syslog yum httpd
グローバル構成
毎時、毎日、毎週、毎月、毎年//ローテーション期間
ローテーション4 // 4コピー
を予約作成//ローテーション後に新しいファイルを作成作成モード所有者グループ新しいファイル、権限、所有者、グループを
作成dateext //日付を次のように使用Suffix
compress //
minsize 1Mを圧縮するかどうか//回転する最小値が1Mかどうか、つまり、指定した時間に達するまで回転しません 。maxsize100M //
ホイール
が
なくなる前に最大値は100Mですok //空の場合、プロンプトは表示されません//空の場合、回転なし
独自のログファイルを設定するには、/etc/logrotate.d/ディレクトリの下に、既存のログ切断構成の形式を模倣することができ
ます。[root @ logrotateの〜]#vimの/etc/logrotate.d/ssh
/mnt/ssh.log { dateext 回転4 Missingok notifempty size 30k yearly create 0600 root root } [root @ logrotate〜] #logrotate -f /etc/logrotate.conf [root @ logrotate〜] #ls / mnt ssh.log ssh.log-20201026
注:
切り取り後に新しいファイルが作成されると、新しいファイルには新しいinode番号
が付けられます。rsyslogやnginxなどのプロセスで新しいログを新しいログファイルに書き込む場合は、ログが切り取られた後にrsyslogまたはnginxプロセスに再読み込みまたは再読み込みを指示する必要があります。シグナル(1またはHUP)
回転後
キル-1プロセスpid
エンドスクリプト
[root @ logrotate〜] #logrotate -f / etc / logrotate.conf即時実行が必須です。設定が成功したかどうかを確認してください