标签:linux运维
Linux运维 第二阶段 (十三) 日志管理
一、1、在centos6.x中日志服务由rsyslogd取代了syslogd,新特点:基于TCP传输日志信息;更安全的网络传输方式;有日志消息的及时分析框架;后台数据库;配置文件中可写简单的逻辑判断;兼容syslogd。
2、系统中常见的日志文件:/var/log/cron、/var/log/btmp等。
二、日志服务:
1、格式:事件产生的时间 发生事件的服务器 产生事件的服务器名或程序名 事件的具体信息
2、/etc/rsyslog.conf配置文件格式:服务名称[连接符号]日志等级 日志记录位置
连接符号:. 只要比后面等级高的(包含该等级)的日志都记录下来,例:cron.info
.= 代表只记录所需等级的日志,其它等级的都不记录,例:*.=emerg
.! 代表不等于,除了该等级的日志外,其它等级的日志都记录
日志等级:debuginfo notice warning err crit alert emerg 依次按等级由你到高
日志记录位置:(当前日志输出到哪个日志文件中保存)
》日志文件的绝对路径,最常见的保存方法,例:/var/log/secure
》系统设备文件,/dev/lp0代表第一台打印机。
》转发给远程主机:@192.168.0.210:514(UDP协议发送至514端口,514是日志服务的默认端口);@@192.168.0.210:514(TCP协议发送)
》用户名,如root,root要在线才会把日志发送出去;"mail.* *"会把mail服务产生的所有级别的日志发送给所有在线用户,若发送给多个在线用户,用户名之间用分号隔开;“local3.* ~”若接受日志的对象是~,代表这个日志不会记录直接丢弃。
例:定义自己日志
#vi /etc/rsyslog.conf
写入 *.crit /var/log/alert.log
#service rsyslog restart
#ll /var/log/alert.log
日志服务器的设备
#vi /etc/rsysylog.conf (服务端设置
$Modload imtcp
$InputTcpserver Run 514 (取消这两行注释
#servicersyslog restart
#netstat -tuln | grep 514
#vi /etc/rsyslog.conf (客户端设置
*.* @@192.168.210:514
查看日志服务器是否设置好:
#useradd aa (在客户端)
#passwd aa
#vi /var/log/secure (查看发生事件的主机名
三、日志轮替:把旧的日志文件移动并改名,同时建立新的空白日志文件,当旧日志文件超出保存的范围之后,就会进行删除,改名依靠/etc/logrotate.conf中dateext参数。
把自己的日志加入日志轮替:
方一:直接在/etc/logrotate.conf文件中写入轮替策略;
方二:在/etc/logrotate.d/目录中建立轮替文件。
例:按方二:#chattr +a /var/log/alert.log
#vi /var/log/alert.log
/var/log/alert.log{
weekly
rotate6
sharedscripts
prerotate
/usr/bin/chattr -a /var/log/alert.log
endscript
sharescripts
postrotate
/usr/bin/chattr +a /var/log/alert.log
endscript
}
#vi /etc/cron.daily/logrotate
/usr/sbin/logrotate /etc/logrotate.conf >/dev/null 2>&1 (logrotate命令会依据配置文件判断是否已符合日志轮替的条件,日志轮替由cron发起
#logrotate 选项 配置文件名
-v (verbose显示过程
-f (force强制
四、日志分析工具:logwatch
#cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/logwatch.conf (注:默认配置/etc/logwatch/conf/logwatch.conf是空的,要手工生成)
#logwatch
来自兄弟连培训
本文出自 “Linux运维重难点学习笔记” 博客,请务必保留此出处http://jowin.blog.51cto.com/10090021/1651995
标签:linux运维
原文地址:http://jowin.blog.51cto.com/10090021/1651995
