【linux】日志管理

1、日志文件内容的一般格式

　　（1）事件发生的日期与时间；

　　（2）发生此事件的主机名；

　　（3）启动此事件的服务名称或函数名称；

　　（4）该信息的实际数据内容。

例如：Mar 14 15:38:00 www atd[18701]: pam_unix(atd:session) : session opened for user root by (uid=0)

在3月14日（Mar 14）的下午15:38分，由www这台主机的atd[PID为18701]传来的消息，这个消息是通过pam_unix这个模块所提出的，信息内容为root（uid=0)这个账号已经开启atd的活动了。

2、syslog的配置文件：/etc/syslog.conf

　　/etc/syslog.conf这个文件规定了什么服务的什么等级信息以及需要被记录在哪里这三个东西，设置的语法如下：

#下面以mail这个服务产生的info等级为例：

mail.info　　　　/var/log/maillog_info

信息等级一共有7级，分别为：info、notice、warning、err、crit、alert和emerg，从左向右等级越来越严重，

等级前的链接符号的意义为：

“.”代表比后面还要高的等级都被记录下来的意思。例如：mail.info代表只要是mail的信息，而且等级要高于info（含info本身）时，就会　　　被记录下来。

“.=”代表所需要的等级就是后面接的等级而已，其它的不要。

“.!”代表不等于，即是除了该等级外的其它等级都要记录。

当用vim /etc/syslog.conf命令进入syslog.conf文件进行修改后，要记得用命令/etc/init.d/syslog restart重新启动syslog。

3、日志文件的轮替

　　日志文件的轮替是由logrotate的配置文件决定的，配置文件在/etc/logrotate.conf和/etc/logrotate.d/中。

　　日志文件的轮替一般是这样一个过程，开始第一个文件messages，当符合轮替要求是，就会将这个文件变为messages.1，然后新建一个

messages文件，当再符合轮替要求是，messages.1就会变为messages.2，然后messages再变为messages.1，最后新建一个messages。

　　用vim /etc/logrotate.conf命令进入logrotate的配置文件后，会看到大概如下的格式的内容：

　　#下面的设置是logrotate的默认设置值，如果个别的文件设置了其它的参数，则将以个别的文件设置为主

　　weekly　　#默认每周对日志文件进行一次rotate的工作

　　rotate 4　　#保留4个日志文件（就是只保留4个，轮替多出来的就会被删除）

　　create　　#由于日志文件被重命名，因此新建一个新的日志文件

　　#compress　　#被改动的日志文件是否要压缩

include /etc/logrotate.d

#将/etc/logrotate.d/这个目录中的所有文件都读进来执行rotate的工作。

/var/log/wtmp{　　#仅针对/var/log/wtmp所设置的参数

　　monthly　　#每个月一次，替代每周

　　minsize 1M　　#文件容量一定要超过1MB后才进行rotate（略过时间参数）

　　create 0664 root utmp　　#指定新建文件的权限与所述账号

　　rotate 1　　#仅保留一个文件，即wtmp.1

}

以上就是日志管理的一些基本操作，比如当查看服务器时，找不到要找的日志了，就可以看看日志的配置文件，看看把日志存放到什么目录了。比如担心入侵，就可以将日志备份到其它服务器上，并且多保留一个日志文件，以便查看。