日志管理基础
一、处理日志的进程rsyslogd:绝大部分日志记录,和系统操作有关,安全,认证sshd,su,计划任务at,cron...httpd/nginx/mysql: 可以以自己的方式记录日志
日志可以存放在本地
日志也可以存放在远程服务器
二、常见的日志文件(系统、进程、应用程序)
# tail /var/log/messages //系统主日志文件# tail -20 /var/log/messages
# tail -f /var/log/messages //动态查看日志文件的尾部
# tailf /var/log/secure //认证、安全
# tail /var/log/maillog //跟邮件postfix相关
# tail /var/log/cron //crond、at进程产生的日志
# tail /var/log/dmesg //和系统启动相关
# tail /var/log/audit/audit.log //系统审计日志
# tail /var/log/yum.log //yum
# tail /var/log/mysqld.log //MySQL
# tail /var/log/xferlog //和访问FTP服务器相关
# w //当前登录的用户 /var/log/wtmp
# last //最近登录的用户 /var/log/btmp
# lastlog //所有用户的登录情况 /var/log/lastlog
三、rsyslogd子系统
# rpm -qc rsyslog
/etc/logrotate.d/syslog //和日志轮转(切割)相关
/etc/rsyslog.conf //rsyslogd的主配置文件
/etc/sysconfig/rsyslog //rsyslogd相关文件
# vim /etc/rsyslog.conf
#### RULES ####
告诉rsyslogd进程 哪个设备(facility),关于哪个级别的信息,以及如何处理
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
mail.info /var/log/maillog
authpriv.* *
authpriv.* @192.168.10.230
authpriv.* @@192.168.10.230
设备facility
# man 3 syslog
LOG_AUTH
LOG_AUTHPRIV 安全认证
LOG_CRON clock daemon (cron and at)
LOG_DAEMON 后台进程
LOG_FTP ftp daemon
LOG_KERN kernel messages
LOG_LOCAL0 through LOG_LOCAL7 用户自定义设备
LOG_LPR printer subsystem
LOG_MAIL 邮件系统mail subsystem
LOG_NEWS news subsystem
LOG_SYSLOG syslogd自身产生的日志
LOG_USER (default)
LOG_UUCP
级别level syslogd 遇到何种情况(正常、错误)才会记录日志
LOG_EMERG 紧急,致命,服务无法继续运行,如配置文件丢失
LOG_ALERT 报警,需要立即处理,如磁盘空使用95%
LOG_CRIT 致命行为
LOG_ERR 错误行为
LOG_WARNING 警告信息
LOG_NOTICE 普通
LOG_INFO 标准信息
LOG_DEBUG 调试信息,排错所需,一般不建议使用