Linux运维 第二阶段 (十三) 日志管理

Linux运维 第二阶段 (十三) 日志管理

一、1、在centos6.x中日志服务由rsyslogd取代了syslogd,新特点:基于TCP传输日志信息;更安全的网络传输方式;有日志消息的及时分析框架;后台数据库;配置文件中可写简单的逻辑判断;兼容syslogd

   2、系统中常见的日志文件:/var/log/cron/var/log/btmp等。

二、日志服务:

    1、格式:事件产生的时间 发生事件的服务器 产生事件的服务器名或程序名 事件的具体信息

    2、/etc/rsyslog.conf配置文件格式:服务名称[连接符号]日志等级 日志记录位置

         连接符号:.   只要比后面等级高的(包含该等级)的日志都记录下来,例:cron.info

         .=      代表只记录所需等级的日志,其它等级的都不记录,例:*.=emerg

         .!      代表不等于,除了该等级的日志外,其它等级的日志都记录

         日志等级:debuginfo notice warning err crit alert emerg 依次按等级由你到高

         日志记录位置:(当前日志输出到哪个日志文件中保存)

         》日志文件的绝对路径,最常见的保存方法,例:/var/log/secure

         》系统设备文件,/dev/lp0代表第一台打印机。

         》转发给远程主机:@192.168.0.210:514(UDP协议发送至514端口,514是日志服务的默认端口);@@192.168.0.210:514(TCP协议发送)

         》用户名,如rootroot要在线才会把日志发送出去;"mail.*  *"会把mail服务产生的所有级别的日志发送给所有在线用户,若发送给多个在线用户,用户名之间用分号隔开;“local3.*   ~”若接受日志的对象是~,代表这个日志不会记录直接丢弃。

         例:定义自己日志

         #vi  /etc/rsyslog.conf

         写入 *.crit             /var/log/alert.log

         #service  rsyslog restart

         #ll  /var/log/alert.log

         日志服务器的设备

         #vi  /etc/rsysylog.conf            (服务端设置

         $Modload  imtcp

         $InputTcpserver Run 514        (取消这两行注释

         #servicersyslog  restart

         #netstat  -tuln | grep 514

         #vi  /etc/rsyslog.conf              (客户端设置

         *.*             @@192.168.210:514

         查看日志服务器是否设置好:

         #useradd  aa         (在客户端)

         #passwd  aa

         #vi  /var/log/secure       (查看发生事件的主机名

三、日志轮替:把旧的日志文件移动并改名,同时建立新的空白日志文件,当旧日志文件超出保存的范围之后,就会进行删除,改名依靠/etc/logrotate.confdateext参数。

         把自己的日志加入日志轮替:

         方一:直接在/etc/logrotate.conf文件中写入轮替策略;

         方二:在/etc/logrotate.d/目录中建立轮替文件。

         例:按方二:#chattr  +a /var/log/alert.log

         #vi  /var/log/alert.log

         /var/log/alert.log{

         weekly

         rotate6

         sharedscripts

         prerotate

                   /usr/bin/chattr  -a /var/log/alert.log

         endscript

         sharescripts

         postrotate

                   /usr/bin/chattr  +a /var/log/alert.log

         endscript

         }

        

         #vi  /etc/cron.daily/logrotate

         /usr/sbin/logrotate  /etc/logrotate.conf  >/dev/null 2>&1         logrotate命令会依据配置文件判断是否已符合日志轮替的条件,日志轮替由cron发起

         #logrotate  选项  配置文件名

         -v      verbose显示过程

         -f       force强制

四、日志分析工具:logwatch

         #cp  /usr/share/logwatch/default.conf/logwatch.conf  /etc/logwatch/conf/logwatch.conf     (注:默认配置/etc/logwatch/conf/logwatch.conf是空的,要手工生成)

         #logwatch

         #mail

        

                                         来自兄弟连培训


本文出自 “Linux运维重难点学习笔记” 博客,请务必保留此出处http://jowin.blog.51cto.com/10090021/1651995

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。