日志对于运维来说非常重要,一般来说日志也是需要备份的。
一、系统常见日志
/var/log/cron 记录了系统定时任务相关的日志
/var/log/dmesg 记录了系统在开机时内核自检的信息。也可以使用 dmesg 命令直接查 看内核自检信息。
/var/log/btmp 记录错误登录的日志。这个文件是二进制文件,不能直接 vi 查看, 而要使用 lastb 命令查看。
/var/log/lastlog 记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进 制文件,不能直接 vi,而要使用 lastlog 命令查看。
/var/log/message 记录系统重要信息的日志。这个日志文件中会记录 Linux 系统的绝大 多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件。
/var/log/secure 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。 比如说系统的登录,ssh 的登录,su 切换用户,sudo 授权,甚至添 加用户和修改用户密码都会记录在这个日志文件中。
/var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、 关机事件。同样这个文件也是一个二进制文件,不能直接 vi,而需 要使用 last 命令来查看。
/var/run/utmp 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销 而不断变化,只记录当前登录用户的信息。同样这个文件不能直接 vi,而要使用 w,who,users 等命令来查询。
RPM包安装的服务日志
/var/log/httpd/
/var/log/mail/
/var/log/samba/
/var/log/sssd/
二、日志服务rsyslogd
只要是由日志服务 rsyslogd 记录的日志文件,他们的格式是一样的。基本日志格式包含以下四列:
事件产生的时间;
发生事件的服务器的主机名;
产生事件的服务名或程序名;
事件的具体信息。
/etc/rsyslog.conf配置文件格式
authpriv.* /var/log/secure
# 服务名称 [ 连接符号 ] 日志等级 日志记录位置
# 认证相关服务 . 所有日志等级 记录在 /var/log/secure 日志中
日志等级
debug(LOG_DEBUG) 一般的调试信息说明
info(LOG_INFO) 基本的通知信息
notice(LOG_NOTICE) 普通信息,但是有一定的重要性
warning(LOG_WARNING) 警告信息,但是还不回影响到服务或系统的运行
err(LOG_ERR) 错误信息,一般达到 err 等级的信息以及可以影响到服务或系 统的运行了
crit(LOG_CRIT) 临界状况信息,比 err 等级还要严重
alert(LOG_ALERT) 警告状态信息,比 crit 还要严重。必须立即采取行动
emerg(LOG_EMERG) 疼痛等级信息,系统已经无法使用了
* 代表所有日志等级,比如:“authpriv.*”代表 authpriv 认 证信息服务产生的日志,所有的日志等级都记录
三、日志轮替
日志轮替最主要的作用就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文 件超出保存的范围之后,就会进行删除。
那么旧的日志文件改名之后,如何命名呢?主要依靠 /etc/logrotate.conf 配置文件中“dateext”参数,以日期命名。
日志轮替主要有两个功能:日志切割和日志轮替。
/etc/logrotate
/etc/logrotate.d/