日志管理服務rsyslogd
配置文件
| 日志類型 | 說明 |
| -------------------- | ----------------------------------- |
| auth | pam產生的日志 |
| authpriv | ssh、ftp等登錄信息的驗證信息 |
| corn | 時間任務相關 |
| kern | 內核 |
| lpr | 打印 |
| mail | 郵件 |
| mark(syslog)-rsyslog | 服務內部的信息,時間標識 |
| news | 新聞組 |
| user | 用戶程序產生的相關信息 |
| uucp | unix to nuix copy主機之間相關的通信 |
| local 1-7 | 自定義的日志設備 || 日志級別 | 說明 |
| -------- | ---------------------------------------------------- |
| debug | 有調試信息的,日志通信最多 |
| info | 一般信息日志,最常用 |
| notice | 最具有重要性的普通條件的信息 |
| warning | 警告級別 |
| err | 錯誤級別,阻止某個功能或者模塊不能正常工作的信息 |
| crit | 嚴重級別,阻止整個系統或者整個軟件不能正常工作的信息 |
| alert | 需要立刻修改的信息 |
| emerg | 內核崩潰等重要信息 |
| none | 什么都不記錄 |日志格式
由日志服務rsyslogd記錄的日志文件,日志文件的格式包含以下4列
時間產生的時間
產生事件的服務器的主機名
產生事件的服務名或程序名
事件的具體信息查看日志
查看一下/var/log/secure日志,這個日志中記錄的是用戶驗證和授權方面的信息來分析如何查看自定義日志
使用vim編輯器修改/etc/rsyslog.conf配置文件,給該文件中添加一行日志配置信息
*.* /var/log/giles.log[root@server01 log]# systemctl restart rsyslog
[root@server01 log]# echo "">giles.log
[root@server01 log]# cat giles.logAug 3 16:02:55 server01 sshd[9643]: Accepted password for giles from 192.168.253.1 port 53873 ssh2
Aug 3 16:02:55 server01 systemd: Created slice User Slice of giles.
Aug 3 16:02:55 server01 systemd: Started Session 22 of user giles.
Aug 3 16:02:55 server01 systemd-logind: New session 22 of user giles.
Aug 3 16:02:55 server01 sshd[9643]: pam_unix(sshd:session): session opened for user giles by (uid=0)
Aug 3 16:02:55 server01 dbus[6458]: [system] Activating service name='org.freedesktop.problems' (using servicehelper)
Aug 3 16:02:55 server01 dbus[6458]: [system] Successfully activated service 'org.freedesktop.problems'
日志輪替
logratate配置文件
[root@server01 log]# vim /etc/logrotate.conf
# rotate log files weekly 每周對日志文件進行一次輪替
weekly
# keep 4 weeks worth of backlogs 共保存4份日志文件,當建立新的日志文件時,舊的將會被刪除
rotate 4
# create new (empty) log files after rotating old ones 創建新的空的日志文件,在日志輪替后
create
# use date as a suffix of the rotated file 使用日期作為日志輪替文件的后綴
dateext
# uncomment this if you want your log files compressed 日志文件是否壓縮,如果取消注釋,則日志會在轉儲的同時進行壓縮
#compress
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
#包含/etc/logrotate.d/目錄中所有的子配置文件。也就是說把這個目錄中所有子配置文件讀取進來
#下面是單獨設置,優先級更高
# no packages own wtmp and btmp -- we'll rotate them here
/var/log/wtmp {monthly #每月對日志文件進行一次輪替create 0664 root utmp #建立的新日志文件,權限是0664,屬主root,屬組是utmpminsize 1M #日志文件最小輪替大小是1MB,也就是日志一定要超過1MB才會輪替,否則就算時間達到一個月,也不進行日志轉儲rotate 1 #僅保留一個日志備份。也就是只有wtmp和wtmp.1日志保留而已
}
/var/log/btmp {missingok #如果日志不存在,則忽略該日志的警告信息monthlycreate 0600 root utmprotate 1
}| 參數 | 說明 |
| ----------------------- | ------------------------------------------------------------ |
| daily | 日志的輪替周期是每天 |
| weekly | 日志的輪替周期是每周 |
| monthly | 日志的輪替周期是每月 |
| rotate數字 | 保留的日志文件的個數。0指沒有備份 |
| compress | 日志輪替時,舊的日志進行壓縮 |
| create mode owner group | 建立新日志,同時指定新日志的權限與所有者和所屬組。如create 0600 root utmp |
| mail address | 當日志輪替時,輸出內容通過郵件發送到指定的郵件地址。 |
| missingok | 如果日志不存在,則忽略該日志的警告信息 |
| notifempty | 如果日志為空文件,則不進行日志輪替 |
| minsize大小 | 日志輪替的最小值,也就是日志一定要達到這個最小值才會輪替,否則就算時間達到也不輪替 |
| size 大小 | 日志只要大于指定大小才進行日志輪替,而不是按照時間輪替 |
| dateext | 使用日期作為日志輪替文件的后綴 |
| sharedscripts | 在此關鍵字之后的腳本只執行一次 |
| prerotate/endscript | 在日志輪替之前執行腳本命令 |
| postrotate/endscript | 在日志輪替之后執行腳本命令 |
自定義日志輪替
在/etc/logrotate.d目錄下創建admin.log文件
通過vim命令進行編輯,具體編輯的內容如下
/var/log/admin.log{monthlysize=10Mrotate 5compress
})
)
)
使用篇二:docker 鏡像)
)