linux 13-2day 日志轮转 日志目录 轮转参数
目录
- 日志系统rsyslog
- 一、处理日志的进程
- 二、常见的日志文件(系统、进程、应用程序)
- 日志优先级
- 三、logrotate日志轮转
- 1、配置日志轮转的路径
- 2、日志配置路径
- 四 、案例
日志系统rsyslog
Linux 系统内核和许多程序会产生各种错误信息、告警信息和其他的提示信息,
这些各种信息都应该记录到日志文件中,完成这个过程的程序就是 rsyslog,rsyslog
可以根据日志的类别和优先级将日志保存到不同的文件中。
日志对于运维工程师的作用:用于排查错误 ,用于排查被攻击的风险
日志管理基础
rsyslog 日志管理
logrotate日志轮转
一、处理日志的进程
ps aux |grep rsyslogd
二、常见的日志文件(系统、进程、应用程序)
tail -f /var/log/messages #动态查看日志文件的尾部,系统主日志文件tail -f /var/log/secure #记录认证、安全的日志(谁登录了我们的系统)tail /var/log/maillog #跟邮件postfix相关tail /var/log/cron #crond、at进程产生的日志 (计划任务相关的)tail /var/log/dmesg #和系统启动相关 tail /var/log/yum.log #yum的日志tail -f /var/log/mysqld.log #MySQL日志tail /var/log/xferlog #和访问FTP服务器相关tail /var/log/boot.log #系统启动过程日志记录存放w #当前登录的用户 /var/log/wtmplast #最近登录的用户 /var/log/btmplastlog #最近登录的用户 /var/log/btmp
第一列,用户名;
第二列,终端位置,/pts/0 (伪终端)意味着从诸如ssh或者telnet的远程链接的用户,
tty(teletypewriter)意味着直接连接到计算机或者本地链接的用户;
第三列,登录的ip或者内核。
第四列,开始时间;
第五列,结束时间(still login in 还未退出 down 直到正常关机 crash 直到强制关机);[root@linux-server ~]#lastlog #所有用户的登录情况 /var/log/lastlog
rsyslog
日志优先级
日志级别分为:7种日志级别代号0-70 debug #有调试信息的,日志信息最多1 info #一般信息的日志,最常用2 notice #最具有重要性的普通条件的信息3 warning #警告级别4 err #错误级别,阻止某个功能或者模块不能正常工作的信息5 crit #严重级别,阻止整个系统或者整个软件不能工作的信息6 alert #需要立刻修改的信息7 emerg #内核崩溃等严重信息none #什么都不记录
三、logrotate日志轮转
因为日志的数量巨大,日志程序会把日志切割成多分,把旧的删除
这样处理,对于磁盘储存,大文件的读写,都更为合理
1、配置日志轮转的路径
/etc/logrotate.conf
2、日志配置路径
配置日志轮转
[root@linux-server ~]# vim /etc/logrotate.conf /var/log/qianfeng{
#daily weekly monthly yearly
prerotate # 轮转之前执行中间的命令chattr -a /var/log/qianfeng # 用于
endscript # 表达式解决 开始进行轮转 missingok #丢失不提示 daily 安天轮转dateext 使用日期作为后缀 weekly #轮转的周期,一周轮转,单位有年,月,日 #daily(天) weekly(周) monthly(月) yearly(年)compress delaycompress 转储的日志 在下一次转储的时候压缩rotate 5 转储了五份missingok 丢失不通知size 50M 达到五十兆 就轮转notifempty 空文件不轮转postrotate # 轮转结束 再其实 这个文件里的权限chattr +a /var/log/qianfeng
endscript # 表达式结束
}
四 、案例
手动轮转
/usr/sbin/logrotate /etc/logrotate.conf
/usr/sbin/logrotate 为轮转命令
/etc/logrotate.conf 轮转文件
logrotate -f /etc/logrotate.conf # -f 是强制轮转# 指定日志的位置
/var/log/newbee{
# 在日志轮转前要做的事
prerotate# 取消隐藏权限achattr -a /var/log/newbee
# 结束脚本
endscript
# weekly daily monthly yearly
# 以日期为后缀
dateext
# 轮转周期为 1天
daily
# 保留5份日志
rotate 5
# 设置属主属组 权限
create 0644 root root
# 设置压缩
compress
# 轮转之后要做的事情
postrotate# 再次添加a权限 (注意制表符)chattr +a /var/log/newbee
# 结束脚本
endscript
}例1:轮转文件/var/log/yum.log[root@linux-server ~]# vim /etc/logrotate.d/yum
/var/log/yum.log {missingok #丢失不提醒#notifempty #空文件不轮转 #size 30k #只要到了30k就轮转#yearlydaily #每天轮转一次 rotate 3 create 0644 root root
}测试:
[root@linux-server ~]# /usr/sbin/logrotate /etc/logrotate.conf #手动轮转
[root@linux-server ~]# ls /var/log/yum*
/var/log/yum.log /var/log/yum.log-20191110[root@linux-server ~]# grep yum /var/lib/logrotate/logrotate.status #查看记录所有日志文件最近轮转的时间
"/var/log/yum.log" 2019-11-10-21:26:142:日志安全,操作日志的隐藏权限
[root@localhost log]# cd /etc/logrotate.d/
[root@localhost logrotate.d]# vim syslog
建议测试时先把/etc/logrotate.d/syslog中messages删除,然后在下面添加如下:
/var/log/messages{prerotatechattr -a /var/log/messagesendscript#notifemptydailycreate 0600 root rootmissingokrotate 3postrotatechattr +a /var/log/messagesendscript
}/usr/sbin/logrotate /etc/logrotate.conf #手动轮转cd /var/log/
ls mess*
messages messages-20200805 messages-20200806参数解释:
prerotate/endscript - 在转储以前需要执行的命令可以放入这个对,这两个关键字必须单独成行
postrotate/endscript - 在转储以后需要执行的命令可以放入这个对,这两个关键字必须单独成行size
触发分割的条件是:1.日志大小达到这个值,和时间周期没有关系。
minsize
触发分割的条件是:1.时间周期到了,2.日志大小达到这个值;两个条件都要满足。
maxsize
触发分割的条件是:1.时间周期到了,2. 日志大小大于这个值;两个条件任何一个满足。