Linux服务器管理: 日志管理(一)

1.日志管理介绍:

a.日志服务:在CentOS6.x中日志服务以及由rsyslogd取代了原有的syslogd服务。rsyslogd日志服务更加先进，功能更多。但是不论该服务的使用，还是日子文件的格式其实都是和syslogd服务相兼容的，所以会了syslogd也就会了rsyslod服务。

b.rsyslogd的新特点：

基于TCP网络协议传输日志信息

更安全的网络传输方式

有日志消息的及时分析框架

后台数据库

配置文件中可以写简单的逻辑判断

与syslog配置文件相兼容

3.系统默认是启动的：当然我们可以查看下是否启动和是否是自动启动

pa aux | grep rsyslogd   和 chkconfig --list | grep rsyslogd

当然你也可以安装他 yum -y install rsyslogd

4.常见日志的作用:

/var/log/cron　　记录了你的定时任务日志

/var/log/cups　　记录打印信息的日志

/var/log/dmesg　　记录了系统内核开机检测信息的日志 当然也可以使用dmesg命令查看

/var/log/btmp　　记录错误登录信息日志，这个文件时二进制文件，不能直接打开。不能直接VI查看，而是使用 lastb命令查看

/var/log/lastlog　　记录系统中所有用户最后一次的登录时间的日志，这个文件也是二进制文件，不能直接vi，而要使用lastlog查看。

/var/log/mailog 　　记录邮件日志

/var/log/messages　　记录系统重要信息的日志，这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题，首先要查看的就是messages日志文件。

/var/log/secure　　记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录，比如说系统的登录，ssh的登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中。

/var/log/wtmp　　永久记录所有用户的登录、注销信息、同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi,而需要使用last命令查看

/var/run/utmp　　记录当前已经登录的用户信息，这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息，同样该文件也是二进制文件不能直接查看，而要使用w,who,users等命令来 查询

*****除啦系统默认的日志之外，采用RPM方式安装的系统服务也会默认把日志记录在/var/log下的相应服务名日志。不过这些日志不是由rsyslogd服务来记录和管理的，而是由该服务本身的日志管理文档来记录自身日志的。例如RPM安装的apache 和mysql服务

2015-06-30

rsyslogd日志服务

1.日志文件格式

　　日志产生的时间、发生事件的服务器名、产生时间的服务名或程序名、事件的信息报告

2./etc/rsyslog.conf 配置文件

mail.*                                                  -/var/log/mail