Linux 日志管理
系统常用日志
绝大部分的日志文件放在 /var/log 目录
| 日志文件 | 说明 |
|---|---|
/var/log/boot.log |
系统启动 |
var/log/cron |
与系统定时任务相关 |
/var/log/cups |
打印信息 |
/var/log/dmesg |
开机时内核自检,也可使用 dmesg 直接查看 |
/var/log/btmp |
错误登录,不能 vi 查看,直接使用 lastb |
/var/log/lastlog |
所有用户最后一次登录时间,用 lastlog 查看 |
/var/log/maillog |
邮件信息 |
/var/log/message |
系统重要信息,系统出问题首先检查 |
/var/log/secure |
验证和授权方面,涉及账户和密码全部在其中 |
/var/log/wtmp |
永久记录所有用户的登录、注销信息,记录系统启动、重启、关机事件,使用 last 查看 |
/var/tun/ulmp |
当前已经登录用户信息,随用户登录和注销不断变化,使用 w who users 查看 |
日志管理服务
CentOS7.6 日志服务是 rsyslogd ,CentOS6.x日志服务是 syslogd ,rsyslogd 功能更强大,其使用、日志文件格式和 syslogd 兼容
查询 Linux 中 rsyslogd 服务是否启动:
ps aux | grep "rsyslog" | grep -v "grep"
查询 rsyslogd 服务自启动状态
systemctl list-unit-files | grep rsyslog
日志管理服务的配置文件时 /etc/rsyslog.conf
编辑文件时的格式为 *.* 存放日志文件
其中,第一个 * 代表文件类型,第二个 * 代表日志级别
主要日志类型分为
authpriv - ssh ftp 等登录信息的验证信息
cron - 时间任务相关
kern - 内核相关
user - 用户程序产生的相关信息
local 1-7 - 自定义的日志设备
日志级别分为
debug 有调试信息的,日志通信最多
info 一般信息日志,最常用
notice 最具重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或模块不能正常工作的信息
crit 严重级别,阻止整个系统或整个软件不能正常工作的信息
alert 需要立即修改的信息
none 什么都不记录