- 1游戏行业中的大企业公司长什么样?成为游戏建模师,你也能成为其中的一员!_游戏科学公司内部图
- 2最全PointNet和PointNet++要点梳理总结
- 3uniapp校验app版本并更新
- 42021年不可错过的40篇AI论文!
- 55.基于C#的CAD二次开发-对象选择(实体类Entity对象介绍)
- 6c#通过ExpressionTree 表达式树实现对象关系映射_c# 表达式树属性映射
- 7利用opencv进行换脸_高效opencv换脸算法
- 8UnityShader(四)基础光照_unity shader光照
- 9Oracle数据库实例切换_oracle切换实例的命令
- 10卷积神经网络(CNN)中的卷积核到底是如何提取图像特征的(python实现图像卷积运算)_卷积是如何提取图像特征的
linux日志分析及管理_linux日志的作用
赞
踩
linux中的日志非常重要,接下来详细介绍一下
知识要点
日志的作用
rsyslog服务介绍
日志文件的存放位置
常见日志文件内容介绍
用户验证相关日志
常用日志操作命令
日志管理策略
日志转储功能(logrotate)
日志分析及管理
1.日志的作用
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
/var/log/messages //linux的日志文件
2.日志文件的分类
内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
日志格式
日志记录的一般格式
rsyslog系统日志
1.由系统服务 rsyslog统一管理
软件包:rsyslog-5.8.10-8
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.conf //记录了日志处理的格式和规则
2.配置文件:/etc/rsyslog.conf
日志设备(类型).(连接符号)日志级别 日志处理方式(action)
日志设备(可以理解为日志类型):
Local 1~7可以修改
rsyslogd 是管理日志的进程,就是写日志 //rsyslogd是根据配置文件/etc/rsyslog.conf中的规则来记录日志
日志类型.日志级别 记录日志的方式
日志的级别
日志级别
NONE: 什么都不记录
EMERG(紧急):会导致主机系统不可用的情况
ALERT(警告):必须马上采取措施解决的问题
CRIT(严重):比较严重的情况
ERR(错误):运行出现错误
WARNING(提醒):可能会影响系统功能的事件
NOTICE(注意):不会影响系统但值得注意
INFO(信息):一般信息
DEBUG(调试):程序或系统调试信息等
从下到上,级别从低到高,记录的信息越来越少
3.连接符号
. :记录大于等于后面的级别日志
.=:只记录等于后面的级别日志
.!=:只记录不等于后面的级别日志
4.日志处理方式
保存到本地文件:通常就是文件的绝对路径
打印机:例如 /dev/lp0 这个打印机装置
用户名称:显示给用户
远程主机:例如 @202.100.100.1
*:所有在线的用户
系统日志文件
1.系统日志保存位置
默认位于:/var/log 目录下
2.主要日志文件介绍
内核及公共消息日志:/var/log/messages
计划任务日志:/var/log/cron
系统引导日志:/var/log/dmesg
邮件系统日志:/var/log/maillog
3.由相应的应用程序独立进行管理
Web服务:/var/log/httpd/
access_log、error_log
代理服务:/var/log/squid/
access.log、cache.log、squid.out、store.log
FTP服务:/var/log/xferlog
……
- 分析工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
有一些数据文件cat命令无法查看cat只能查看文本文件
用户日志文件
1.保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件 last
/var/log/wtmp:用户登录、注销及系统开、关机事件 w who
/var/run/utmp:当前登录的每个用户的详细信息 users
/var/log/secure:与用户验证相关的安全性事件
2.用户登录分析
who、w、users、last、ac、lastlog
日志命令
1.主动记录日志工具
logger:从命令行直接向系统日志文件写入一行信息
ping -c2 //ping两次 自动退出
日志管理策略
1.及时作好备份和归档
2.控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
3.集中管理日志
使用日志服务器便于日志的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
日志服务器
应用示例:
调整rsyslog服务设置,建立集中管理的日志服务器
将客户机B中所有日志消息,自动发送到服务器A的日志文件中 
步骤(详见演练)
一、在服务器上配置:
1、修改/etc/rsyslog.conf文件,把以下2项的注释取消
$ModLoad imudp //配置接收其他机器的日志
$UDPServerRun 514 //配置接收其他机器的日志,打开514端口
2、重启rsyslog服务
service rsyslog restart
二、在客户机上配置:
1、修改/etc/rsyslog.conf文件,在最后加一行,内容如下:
. @服务器IP
2、重启rsyslog服务
service rsyslog restart
三、测试
在客户机通过logger添加日志 (关闭防火墙)
在服务器上查看日志
日志转储功能
1.系统时时刻刻都在产生日志,如果不及时清理,很快就会填满硬盘,但如果要手工清理,又很麻烦。这种情况下,logrotate 这个程序很好的完成这个任务。
2.logrotate 用来把旧的日志文件删除,并创建新的日志文件,我们把它叫做“转储”。我们可以根据日志文件的大小,也可以根据天数来转储,这个过程一般通过crond进程来执行,logrotate 还可以用于压缩日志文件
3.logrotate的主配置文件:/etc/logrotate.conf
4.主要参数:
参数 功能
compress 通过gzip 压缩转储以后的日志
nocompress 不需要压缩时,用这个参数
copytruncate 用于还在打开中的日志文件,把当前日志备份并截断
nocopytruncate 备份日志文件但是不截断
create mode owner group 转储文件,使用指定的文件模式创建新 的日志文件
nocreate 不建立新的日志文件
delaycompress 和 compress 一起使用时,转储的日志文件到下一次转储时才压缩
nodelaycompress 覆盖 delaycompress 选项,转储同时压缩。
errors address 专储时的错误信息发送到指定的Email 地址
ifempty 即使是空文件也转储,这个是 logrotate 的缺省选项。
notifempty 如果是空文件的话,不转储
mail address 把转储的日志文件发送到指定的E-mail 地址
nomail 转储时不发送日志文件
olddir directory 转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统
noolddir 转储后的日志文件和当前日志文件放在同一个目录下
prerotate/endscript 在转储以前需要执行的命令可以放入这个对,这两个关键字必须单独成行
postrotate/endscript 在转储以后需要执行的命令可以放入这个对,这两个关键字必须单独成行
daily 指定转储周期为每天
weekly 指定转储周期为每周
monthly 指定转储周期为每月
rotate count 指定日志文件删除之前转储的次数,0 指没有备份,5 指保留5 个备份
tabootext [+] list 不转储指定扩展名的文件,缺省的扩展名是:.rpm-orig .rpmsave
size size 当日志文件到达指定的大小时才转储,可以指定bytes(缺省)以及KB(sizek)或者MB (sizem).
5.Logrotate的次要配置文件:/etc/logrotate.d/*
每个文件代表一种日志的配置
6.日志转储
logrotate -v /etc/logrotate.conf //查看转储的过程
-f:强制转储
