什么是日志文件
日志文件不用说,就是记录linux系统在什么时候由哪个进程做了什么样的行为,发生了什么事件等。详细的日志文件信息可以帮助我们解决大部分的Linux问题。
常见的Linux日志文件名
- /var/log/cron : 与之前写过的crontab任务调度相关的日志文件。
- /var/log/dmesg : 记录系统在开机时候内核检测过程中所产生的各项信息。由于centos默认将开机时内核的硬件检测过程取消,因此额外将数据记录一份在这个文件中。
- /var/log/lastlog : 记录系统上面所有账号最近一次登录系统时的相关信息。
lastlog命令就是基于此。 - /var/log/maillog|* : 记录邮件的往来信息,主要是记录sendmail(SMTP协议提供者)与dovecot(POP3协议提供者)所产生的信息。
- /var/log/message : 相当重要的日志文件,几乎系统发生的错误信息都会记录在这个文件中。系统发生莫名的错误时,这个文件是一定要查阅的日志文件之一。
- /var/log/secure : 基本上,只要涉及账号密码的软件,登录信息都会存在这个文件中。
- /var/log/wtmp,/var/log/faillog : 分别记录正确登录系统的账户信息(wtmp)和错误登录的账户信息(faillog)
- /var/log/httpd/*
/var/log/news/*
/var/log/samba/*:网络服务相关的日志文件。
【ps:不同的linux distributions中,通常日志的文件名不会相同,所以,具体仍需查阅主机上的日志文件设置数据。】
日志文件的产生方式:
- 软件开发商自行定义写入的日志文件与相关格式。
- Linux distribution提供的日志文件管理服务来统一管理。centos7使用rsyslogd来统一管理。
日志文件所需服务与程序
rsyslogd : 主要登录系统与网络等服务的信息。
klogd : 主要登录内核产生的各项信息。
logrotate : 主要进行日志文件的轮替功能。
rsyslogd
日志文件内容的一般格式
一般来说,系统产生的信息经过syslog记录的数据,每条信息均会记录下面的几个重要数据。
- 事件发生的日期与时间
- 发生此事件的主机名
- 启动此事件的服务名称和函数名称
- 该信息的实际数据内容
image.png
这里就拿第一条数据做说明:
在7月22日 03:46:03(Jul 22 03:46:03) 由 izuf6i29flb2df231kt91hz这台主机的sshd[pid为3070]传来的消息,信息为 来自175.124.123.28端口46519的用户wuzhenqun无效
syslog的配置文件:/etc/rsyslog.conf(centos7采用rsyslog)
syslog针对各种服务与信息记录在某些文件的配置文件就是/etc/rsyslog.conf.这个文件规定了什么服务的什么等级信息以及需要被记录在那里(设备或文件)
语法规则:
服务名称[.=!]信息等级 信息记录的文件名或设备或主机
mail.info /var/log/maillog_info
# 说明 mail服务产生的大于等于info等级的信息,都记录到/var/log/maillog_info文件中
-
服务名称
syslog设置有一些服务,可以通过这些服务来存储系统的信息,syslog设置的服务主要有下面这些:
| 服务类型 | 说明 |
|---|---|
auth(authpriv) |
主要与认证有关的机制,例如login,ssh,su等需要账号/密码 |
cron |
就是例行性工作调度cron/at等生成信息日志的地方 |
daemon |
与各个daemon有关的信息 |
kern |
就是内核(kernel)产生信息的地方 |
lpr |
即时打印相关的信息 |
mail |
只要与邮件收发有关的信息记录都属于这个 |
news |
与新闻组服务器有关的东西 |
syslog |
就是syslogd这个程序本身生成的信息 |
user,uucp,local0-local7 |
与Unix like机器本身有关的一些信息 |
以上提到的都是syslog自行制定的服务名称。软件开发商可以通过调用上述的服务名称来记录他们的软件。
比如sendmail是与邮件相关的软件,都是调用syslogd内的mail服务。
- 信息等级
| 等级 | 等级名称 | 说明 |
|---|---|---|
| 1 | info |
仅是一些基本的信息说明而已 |
| 2 | notice |
除了info外还需要注意的一些信息内容 |
| 3 | warning(warn) |
警示的信息,可能有问题,但是还不至于影响某个daemon运行的信息 |
| 4 | err(error) |
一些重大的错误信息,例如配置文件的某些设置造成该服务无法启动的信息说明 |
| 5 | crit |
比error还要严重的错误信息,这个crit是临界点(critical)的缩写,这个错误已经很严重了 |
| 6 | alert |
警告,已经很有问题的等级,比crit还严重 |
| 7 | emergency(panic) |
"疼痛"等级,意指系统已经几乎要死机的状态 |
- 链接符号
"." : 代表比后面还要高的等级(含该等级),都被记录下来的意思
".=" :代表需要的等级就是后面接的等级而已
".!" : 代表不等于,即是除了该等级之外的其他等级都记录
- rsyslog.conf配置(centos7采用rsyslog,这里使用的是rsyslog的数据)
# Don't log private authentication messages!
记录所有日志类型的info级别以及大于info级别的信息到/var/log/messages,但是mail邮件信息,authpriv验证方面的信息和cron时间任务相关的信息除外
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv验证相关的所有信息存放在/var/log/secure
authpriv.* /var/log/secure
# Log all the mail messages in one place.
邮件的所有信息存放在/var/log/maillog; 这里有一个-符号, 表示是使用异步的方式记录, 因为日志一般会比较大
mail.* -/var/log/maillog
# Log cron stuff
计划任务有关的信息存放在/var/log/cron
cron.* /var/log/cron
# Everybody gets emergency messages
记录所有的大于等于emerg级别信息, 以wall方式发送给每个登录到系统的人
*.emerg :omusrmsg:*
# Save news errors of level crit and higher in a special file.
记录uucp,news.crit等存放在/var/log/spooler
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
启动的相关信息
local7.* /var/log/boot.log
日志文件的安全设置
通过这个chattr属性可以保护日志文件只能被增加,而不能被删除。
chattr +a /var/log/message
日志文件的轮替
配置文件:
/etc/logrotate.conf 主要参数文件
/etc/logrotate.d 目录文件
下图是centos7默认的logrotate.conf文件
logrotate.conf
image.png
