日志系统(Linux系统上常用的日志系统)
操作系统运行过程当中会产生许多信息,这些信息既是我们观察系统运行过程当中正常的一种途径(手段、凭借),同时它也为我们提供了当发生故障时定位问题所在的必要信息。
事实上,任何操作系统都提供了日志系统,用于记录各子系统产生的各种信息。
日志系统定义一个日志信息要基于三种方式定义:
1、信息的详细程度:系统产生的信息不可能全部进行记录,因此记录信息的过程会有信息的详细程度。根据记录日志信息的详细程度不同,可将日志信息分级,称为日志级别(用于定义不同的日志信息的)。一般来讲,不同的日志系统支持的级别不同。在Linux系统上,日志级别通常有固定的几种。
2、子系统:facility(设施)
3、动作:在系统运行过程当中产生的信息该如何处理呢?是记录在文件中?还是发送至其它主机让其它主机记录?或者使用管道送给其他命令,让其它命令处理呢?
通常定义日志信息时,需要指明记录哪一个子系统、记录哪一个级别及此级别以上的信息以及信息的存储位置等。
鉴于操作系统上的程序自身都可以产生日志信息并将其记录到指定位置,但这些日志信息中定义的日志格式不尽相同。故Linux系统上统一创建了一个程序,负责统一记录各程序产生的日志信息。这就是syslog。
Linux上的日志系统:
1、syslog
2、syslog-ng(ng(next generation,下一代),分为开源版和商业版)
在RedHat 5上使用的是syslog,而在RedHat 6上使用的是syslog-ng。syslog-ng作为syslog的升级版,其功能比syslog要大的多的多。事实上,在RedHat系列的系统上,syslog-ng和syslog使用的配置文件的格式比较接近,虽然事实上syslog-ng和syslog差别比较大。
syslog服务:
专门用来提供记录日志功能的。可以把每一个程序理解为子系统。
syslog有两个进程:
syslogd(sys:系统):专门负责记录非内核的其它设施产生的日志;
klogd(k:内核):专门负责记录内核产生的日志;
klogd所记录的日志的详细程度个syslogd有着巨大不同,所以它们所产生的日志格式相差太大,因为它们两个各自独立为一个日志系统。
系统启动过程中,BIOS将控制权交给kernel(内核实现初始化了,屏幕上会产生许多信息) --> 这些屏幕上的信息显示在物理终端上(物理终端对应的设备为/dev/console,而后来所看到的信息如给用户login登录时看到的信息为虚拟终端,ssh远程登录叫伪终端) --> 这些信息在RedHat系列的系统上会被记录到/var/log/dmesg(可使用cat /var/log/dmesg查看,或者使用dmesg命令查看(dmesg专门用来打开/var/log/dmesg文件并显示),这些信息都是启动init程序之前产生的信息) --> 系统控制权由内核转交给/sbin/init之后 --> 产生的信息由syslog记录(上面kernel产生的信息由klogd记录并放置于文件中)
syslogd记录的信息存放位置:
/var/log/messages:系统标准错误日志信息(大多数产生的错误信息都在其中)、非内核产生的引导信息(如系统初始化信息)、各子系统产生的信息。所以此文件是记录信息最多的,而且运行程序日积月累之后可能会变得越来越大的一个文件。当然,它会被多次进行滚动,以免一个文件变得过大。
/var/log/maillogs:邮件系统产生的信息;
/var/log/secure:与安全相关的信息;(权限要求严格(600权限),任何一个用户在登录时产生的登录信息,如账号密码输入是否有误、尝试登录过几次都在其中有记录)
日志滚动:
日志需要滚动,日志滚动的过程也叫日志切割。
比如第一个日志文件叫messages,过了两天这个文件变得非常大了,打开文件查看是非常消耗内存的,而且不便管理。所以每隔一段时间,将文件重命名(如:将messages重命名为messages.1),再重新创建一个文件叫messages。以此类推,下一次messages.1重命名为messages.2,message重命名为messages.1,再新建一个messages...
日志滚动可以按文件大小、也可以按时间(如:每周一次)或两个标准同时进行滚动。
logrotate:系统中进行日志滚动(切割)的工具
对于syslog,其对应的服务也叫syslog。
syslog日志系统的配置文件:/etc/syslog.conf(每一行用来指定每一个子系统产生的哪个级别的日志记录到什么位置上去)格式如下:
配置文件定义格式为: facility.priority action
action前若加-表示异步写入
如:
facility:可以理解为日志的来源或设备,目前常用的facility有以下几种:
auth #认证相关的
authpriv #权限,授权相关的
cron #任务计划相关的
daemon #守护进程相关
kern #内核相关的
lpr #打印相关的
mail #邮件相关的
mark #标记相关的
news #新闻相关的
security #安全相关的,与auth类似
syslog #syslog自己的
user #用户相关的
uucp #unix to unix cp相关的
local0 到 local7 #用户自定义使用
* #表示所有的facility
priority:(log level)日志的级别,一般有以下几种级别(从低到高)(级别越低,记录的信息越详细)
debug #程序或系统的调试信息
info #一般信息
notice #不影响正常功能,需要注意的消息
warning/warn #可能影响系统功能,需要提醒用户的重要事件
err/error #错误信息
crit #比较严重的
alert #必须马上处理的
emerg/panic #会导致系统不可用的
* #表示所有的日志级别
none #根*相反,表示啥也没有
action(动作):日志记录的位置
系统上的绝对路径 #普通文件,如:/var/log/xxx
| #管道,通过管道送给其它命令处理
终端 #终端,如:/dev/console
@HOST #远程主机,如:@10.0.0.1
用户 #系统用户,如:root
* #登录到系统上的所有用户,一般为emerg级别的日志是这样定义的
日志定义格式举例:
mail.info /var/log/mail.log #表示将mail相关的,级别为info及info以上级别的信息记录到/var/log/mail.log文件中
auth.=info @10.0.0.1 #表示将auth有关的,级别为info的信息记录到10.0.0.1主机上去
#前提是10.0.0.1要能够接受其它主机发来的日志信息
user.!error #与user.error相反
*.info #表示记录所有的日志信息的info级别
mail.* #表示记录mail相关的所有级别的信息
*.* #记录所有的日志信息的所有级别
cron.info;mail.info #多个日志来源用";"隔开
cron,mail.info #与cron.info;mail.info意义相同
mail.*;mail.!=info #表示记录mail相关的除了info级别之外的所有级别的信息
修改/etc/syslog.conf不会立即生效,但会永久有效,若需要立即生效需要重启syslog服务:
service syslog restart
但若有其它进程往syslog发信息,则可能无法生效:
service syslog reload #让程序不用重启就能使配置文件生效
使用远程日志:
在/etc/syslconfig/syslog中加入-r选项并重启服务可实现将本机作为日志服务器使用(可接受其它主机的日志信息),如下图:
