十八、日志管理

1.系统常用日志

标红的是重点

日志管理服务rsyslogd

CentOS7.6日志服务是rsyslogd , CentOS6.x 日志服务是syslogd。rsyslogd 功能更强大，和syslogd兼容。

查询rsyslogd服务是否启动：ps aux | grep "rsyslog" | grep -v "grep"
grep -v "grep"表示反向选中前面过滤的内容

查询rsyslogd服务的自启动状态（enable）
systemctl list-unit-files | grep rsyslog
12345

配置文件: /etc/rsyslog.conf

编辑文件时的格式为:*.* ，存放日志文件 其中第个*代表日志类型，第二个代表日志级别

日志类型分为

auth					##pam产生的日志
authpriv				##ssh、ftp等登录信息的验证信息
corn					##时间任务相关
kern					##内核
Ipr						##打印
mail					##邮件
mark(syslog)-rsyslog	##服务内部的信息 ，时间标识
news					##新闻组
user					##用户程序产生的相关信息
uucp 					##unix to nuix copy主机之间相关的通信
local 1-7				##自定义的日志设备
1234567891011

日志级别分为

debug		##有调试信息的，日志通信最多
info		##一般信息日志 ，最常用
notice		##最具有重要性的普通条件的信息
warning		##警告级别
err			##错误级别,阻止某个功能或者模块不能正常工作的信息
crit		##严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert		##需要立刻修改的信息
emerg		##内核崩溃等重要信息
none		##什么都不记录
注意:从上到下,级别从低到高,记录信息越来越少
12345678910

日志文件格式有4列信息

1.事件产生的时间 2.产生事件的服务器的主机名 3.产生事件的服务名或程序名 4.事件的具体信息

2、自定义日志

自定义日志添加在/etc/rsyslog.conf ，编辑内容如图

3、日志轮替

日志轮替就是把旧的日志文件移动并改名，同时建立新的空日志文件，当旧日志文件超出保存的范围之后，就会进行删除。

日志轮替文件命名

1）centos7使用logrotate进行日志轮替管理，要想改变日志轮替文件名字，通过/etc/logrotate.conf配置文件中"dateext" 参数: 2）如果配置文件中有"dateext" 参数，那么日志文件以日期后缀 ，例如"secure-20210716"。此时不会重名，只需要指定保存日志个数，删除多余的日志文件即可。 3）如果配置文件中没有"dateext" 参数，那么日志文件就需要改名。当第一次进行日志轮替时，当前"secure"日志会自动改名为"secure.1"，然后新建”secure"日志，用来保存新日志。当第二次进行日志轮替时，” secure.1”会自动改名为"secure.2" ，当前的"secure" 日志会自动改名为"secure.1”， 然后也会新建"secure"日志，用来保存新的日志，以此类推。

4、查看内存日志

journalctl		##查看全部
journalctl -n 3 ##查看最新3条
journalctl --since 19:00 - until 19:10:10 #查看起始时间到结束时间的日志可加日期
journalctl -p err ##报错日志
journalctl -o verbose ##日志详细内容
journalctl_PID=1245 COMM=sshd ##查看包含这些参数的日志 (在详细日志查看)
或者journalctl| grep sshd
注意: journalctl查看的是内存日志，重启清空
12345678