Linux进阶之日志管理

一、何为日志

1、在程序执行时，可以通过标准输出以及错误输出，让我们知道程序的执行情况，而系统不可能将所有程序的输出信息一起显示，要知道后台执行的程序非常之多，如果一起显示，那我们不用操作了，整天只看输出结果就够忙了！

2、这时就需要日志系统了，有了日志之后，系统可以将所有程序的输出结果，分类到日志中，通过查看日志，我们就可以知道系统的运行情况。

3、ping 192.168.18.254 >> /tmp/cjk这么简单的一条命令，其实就是一个日志，将ping的结果输出到cjk中，我们可以通过cat /tmp/cjk来了解ping命令的运行情况。

二、系统日志服务组件

1、rsyslogd

全名为系统日志服务System Log Daemon，用来采集用户的应用程序或者服务产生的信息。

2、logger

这是一个日志服务的客户端工具，可以使用这个工具，直接在shell中传递信息给系统日志服务，通常用为测试系统日志服务。

三、日志服务安装

rpm -q rsyslog  #查询是否已经安装

yum -y install rsyslog          #安装系统日志服务

四、日志服务运行状态管理

systemctl stop rsyslog            #关闭日志服务

systemctl start rsyslog           #开启日志服务

systemctl enable rsyslog         #设为开机启动

systemctl disable rsyslog        #设置为开机不启动

五、日志服务配置 

配置文件的路径/etc/rsyslog.conf

格式：

FACILITY.PRIORITY ACTION

信息来源.优先级别 处理方式

信息来源列表

authpriv        #与安全验证有关的信息。

cron              #包含at或cron定时执行系统产生的信息。

daemon         #一般服务器的信息。

kern              #来自内核信息。

lpr                #打印系统传来信息。

mail              #电子邮件系统信息。

syslog           #syslog服务器本身信息

user              #一般用户等级信息。

uucp             #UUCP子系统信息。

localN           #保留。

安全级别列表

轻微      debug       #只是排错信息，仅对程序开发人员有用，对系统管理者的你是没有太大意义的。

info          #通常这是正常信息，你也可以忽略info的信息。

notice        #这是稍微要注意的信息。

warn          #可能有问题的警告信息。

err             #这是错误信息。

crit            #这是危急错误。

alert          #这是需特别留意的警报信息。

严重     emerg        #这是紧急状况，如果再不处理该服务或系统可能会宕

PRIORITY的计算方式：

PRIORITY：代表等于，或高于PRIORITY。例如，err相当等于err + crit +alert + emerg。

=PRIORITY：恰等于PRIORITY。例如，=err就是err本身。

!PRIORITY：代表除了PRIORITY之外的。例如，!err就为debug + info +notice + warn + crit + alert + emerg。

除此之外，FACILITY与PRIORITY可以使用星号代表所有的，因此*.* 就表示所有的FACILITY的所有PRIORITY信息。

而ACTION字段则是用来定义如何处理接收到的信息。可以指定：

/PATH/FILENAME：将信息储存至/PATH/FILENAME文件中。注意，如要系统日志服务把信息储存到文件，这个文件必须要写绝对路径。

USERNAME：将信息送给已登录用户。

@HOSTNAME：代表将信息转到HOSTNAME的系统日志服务器。

*：将信息传送给所有已登录的用户。

六、日志格式

DATE：信息发生日期。

TIME：信息发生时间。

HOSTNAME：信息发生主机。

APP：产生信息软件。

NAME：软件名称，或是软件组件名称。可以省略。

PID：进程标识。可以省略。

MESSAGES：信息内容。

七、集中式的日志服务

1、为什么需要集中式日志服务

如果你负责管理很多台LINUX服务器，你就需要登录每台服务器查看上面的日志，特别麻烦，如果通过集中式的日志服务，就可以将日志收集起来，统一管理。

2、集中式日志服务的架构日志管理

3、设置步骤

a.修改客户端的配置文件，路径是/etc/rsyslog.conf，加如下参数*.* @logserver。

b.修改服务端的配置文件，路径是/etc/rsyslog.conf，取消如下注释：

$ModLoad imudp

$UDPServerRun 514

$ModLoad imtcp

$InputTCPServerRun 514

c.重启客户端和服务端的日志服务。

八、日志切割

logrotate            #日志切割

/etc/logrotate.conf              #配置文件

/etc/logrotate.d/                 #切割配置

选项：

-v           #详细信息

-f            #强制

九、日志管理

什么是日志呢？相信大家都见过windows下的日志，或者是一些应用程序产生的日志，日志服务记录操作系统或对应用程序进行操作时出现的问题。

日志有正确的，记录在什么时间有哪些人执行了什么操作。也有错误日志，记录系统在什么时间发生了什么错误。日志平时很不起眼，但不代表其不重要，当你的电脑发生错误时，需要借助日志系统，判断什么时间，在哪里出现了问题。

ps aux | grep rsyslogd 查看服务是否启动

chkconfig --list | grep rsyslog 查看是否开机启动服务

/var/log/cron 记录了系统定时任务相关的日志

/var/log/cpus/ 记录打印信息日志

/var/log/dmesg 记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息。

/var/log/btmp 记录错误登录日志。这个文件为二进制文件，不能通过vi来查看，要使用lastb命令查看。

/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志。这个文件为二进制文件，不能通过vi来查看，要使用lastlog命令查看。

/var/log/mailog 记录邮件信息。

/var/log/message 记录系统重要信息日志。这个日志文件中会记录linux系统的绝大多数重要信息。如果系统出现问题，首先要检查的就应该是这个日志文件。

/var/log/secure 记录验证和授权方面的信息。只要涉及账户和密码的程序都会记录。比如说系统的登录，ssh的登录，su切用户，sudo的授权，甚至添加用户以及修改用户密码都会记录在这个日志文件中。

/var/log/wtmp 永久记录所有用户登录、注销信息，同时记录系统启动、重启、关机事件。这个文件为二进制文件，不能通过vi来查看，要使用last命令查看。

/var/run/utmp 记录当前已经登录用户信息。这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息。这个文件为二进制文件，不能通过vi来查看，要使用w/who/users命令查看。

上面这些日志都是系统默认日志，除了这些日志之外，还有一些采用rpm方式安装的系统服务也会默认把日志记录在/var/log/目录中。不过这些日志不是由rsyslogd服务来记录和管理，而是各个服务使用自己的日志管理文档来记录自身日志。

/var/log/httpd/ rpm包安装apache服务的默认日志目录

/var/log/mail/ rpm包安装邮件服务器的额外日志目录

/var/log/samba/ rpm包安装samba服务的日志目录

/var/log/sssd/ 守护进程安全服务目录

rsyslogd日志服务的使用

首先说下日志文件格式，基本日志格式包含以下四列：

事件产生时间；

发生事件的服务器的主机名；

发生事件的服务名或程序名；

事件具体信息。

配置文件的位置/etc/rsyslog.conf。

例子：

authpriv.*                                   /var/log/secure

认证相关服务.所有日志等级         记录在/var/log/secure日志

auth            安全和认证的相关信息（不推荐使用authpriv替代）

authpriv         安全和认证的相关信息（私有）

cron            系统定时任务cront和at产生的日志

daemon          和各个守护进程相关的日志

ftp              ftp守护进程产生的日志

kern            内核产生日志（不是用户进程产生）

local0-local7     为本地使用预留的服务

lpr             打印产生日志

mail            邮件收发信息

news           与新闻服务器相关日志

syslog          syslogd服务产生的日志信息

user            用户等级类别日志信息

uucp           uucp子系统日志信息，uucp是早期linux系统进行数据传递的协议