rysyslog:绝大部分日志记录,和操作系统相关,安全、认证sshd/su,计划任务at/cron
logrotate:定制化记录日志
日志可存放在本地,也可存放在远程服务器
本地文件路径: /var/log/
常见的日志文件
- /var/log/messages --系统主日志文件
- /var/log/secure --认证、安全
- /var/log/maillog --和邮件postfix相关
- /var/log/cron --crond、at进程产生的日志
- /var/log/dmesg --和系统启动相关
- /var/log/audit/audit.log --系统审计日志
- /var/log/yum.log --yum
- /var/log/mysqlld.log --MySQL
- /var/log/xferlog --和访问FTP服务器相关
- w --当前登录的用户 /var/log/wtmp
- last --最近登录的用户 /var/log/btmp
- lastlog --所有用户的登录情况 /var/log/lastlog
rsyslogd子系统
rpm -qc rsyslog
/etc/logrotate.d/syslog --和日志办轮转切割相关
/etc/rsyslog.conf -- rsyslogd的主配置文件
/etc/sysconfig/rsyslog --rsyslogd的相关文件
# vim /etc/rsyslog.conf
告诉rsyslog进程,哪个设备facility,关于哪个级别的信息,以及如何处理
authpriv.* -- /var/log/secure
mail.* --/var/log/maillog
cron.* --/var/log/cron
mail.info --/var/log/maillog
authpriv.* --* 所有终端
authpriv.* -- @192.168.10.230 UDP
authpriv.* -- @@192.168.10.230 TCP
设备facility
# man 3 syslog
LOG_AUTH
LOG_AUTHPRIV -- 安全认证
LOG_CRON -- clock daemon(cron and at)
LOG_DAEMON --后台进程
LOG_FTP --ftp daemon
LOG_KERN -kerel messages
LOG_LOCAL0 throught LOG_LOCAL2 --用户自定义设备
LOG_LPR --printer subsystem
LOG_MAIL --邮件系统mail subsystem
LOG_NEWS --news subsystem
LOG_UUCP
级别level syslogd
遇到何种情况(正常、错误)才会记录日志
- LOG_EMERG --紧急、致命,服务无法继续运行,如配置文件丢失
- LOG_ALERT --报警,需要立即处理,如磁盘空间使用95%
- LOG_CRIT --致命行为
- LOG_ERR -- 错误行为
- LOG_WARNING -- 警告信息
- LOG_NOTICE -- 普通
- LOG_INFO --标准信息
- LOG_DEBUG --调试信息,排错所需,不建议使用
日志轮转
日志切割
不是系统守护进程,而是通过计划任务crond每天执行
cat /etc/cron.daily/logrotate
- 配置文件
/etc/logrotate.conf(决定每个日志文件如何轮转)
/etc/logrotate.d/*
网友评论