Linux 入门总结(十五)

Linux 入门总结(十五) —— 日志管理

日志管理简介

1、日志服务
在 CentOS 6.x 中日志服务已经由 rsyslogd 取代了原先的 syslogd 服务。rsyslogd 日志服务更加先进，功能更多。

# 查看服务是否启动
ps aux | grep rsyslogd

# 启动日志服务
systemctl restart rsyslog.service

# 查看服务是否是自启动
systemctl list-unit-files | grep rsyslog.service

# 设置日志服务自启动
systemctl enable rsyslog.service

2、常见日志的作用

除了系统默认的日志之外，采用 RPM 方式安装的系统服务也会默认把日志记录在 /var/log 目录中（源码包安装的服务日志是在源码包指定目录中）。不过这些日志不是由 rsyslogd 服务来记录的和管理的，而是各个服务使用自己的日志管理文档来记录自身日志。只要通过 RPM 包的方式安装对应的服务，就会产生对应的日志。

rsyslogd 日志服务

1、日志文件格式
基本日志格式包含以下四列：

事件产生的时间
发生事件的服务器的主机名
产生事件的服务名或程序名
事件的具体信息

2、/etc/rsyslog.conf 配置文件

rsyslogd 服务记录哪些日志，到底记录什么样的日志，是由 /etc/rsyslog.conf 这个配置文件决定的。该日志的固定格式为：服务名称[连接符号]日志等级 日志记录位置。

# 服务名称 authpriv，连接符号「.」，日志等级 *，日志记录位置 /var/log/secure
# authpriv 表示认证相关的服务，「.」代表大于等于后面日志等级，* 所有日志等级
# 即所有认证相关服务的日志不管它是什么等级，全都记录在 /var/log/secure 这个日志中
authpriv.*             /var/log/secure

注意：上图中从上到下为从低等级到高等级。等级越高，记录的内容越小（因为发生的可能比较小），优先级越高，危害越大。

lp0 表示打印机的意思。

日志轮替

1、日志轮替包含以下两点：

日志需要切割：例如将大日志按天分成小日志。
日志需要轮换：例如只记录 30 天的日志，前第 31 天以前的就会被删掉。

2、日志文件的命名规则

3、logrotate.conf 配置文件

4、把 apache 日志加入轮替

vim /etc/logrotate.conf
/usr/local/apache/logs/access_log {
  daily
  create
  rotate 30
}

注意：RPM 包安装的，日志都不需要进行手工去轮替，系统都会默认去轮替；需要做的只有源码包安装的日志。一般情况下所有的源码包安装的日志都需要做手工配置轮替。

5、logrotate 命令

格式：
    logrotate [选项] 配置文件名

选项：
    如果此命令没有选项，则会安装配置文件中的条件进行日志轮替
    -v   显示日志轮替过程
    -f   强制进行日志轮替。不管日志轮替的条件是否已经符号，强制配置文件中多有的日志进行轮替