日志文件通常只有root可以读取,解决系统和网络方面的问题。
/var/log/boot.log本次开机系统检测和启动硬件,和内核支持的相关功能的信息记录。
/var/log/cron计划任务有没有被执行,是否正确编写等
/var/log/dmesg开机时内核检测过程产生的信息
/var/log/lastlog所有账号最近一次登录系统的相关信息,和lastlog命令有关
/var/log/maillog或/var/log/mail/*记录发送邮件时(SMTP),postfix产生的信息和接收邮件(POP3)时,dovecot产生的信息
/var/log/messages所有发生错误的信息和重要的信息
/var/log/secure涉及到输入账号密码的登录等信息
/var/log/wtmp、/var/log/faillog正确登录者的账户信息、错误登陆时所使用的账户信息。
如/var/log/httpd/*、/var/log/samba/*等的不同的网络服务自己的日志文件信息
日志文件的产生可以为软件开发商自行定义(如www软件的Apache)和Linux发行版提供的文件管理服务统一管理。
CentOS提供rsyslog.service服务统一管理日志文件。通过logrotate(日志文件轮询)工具自动化处理日志文件。
systemd-journald.service为最主要的信息记录者,由systemd提供,信息记录在内存中,然后发送给rsyslog.service作进一步记录。
rsyslog.service主要收集登录信息和网络等服务信息,为rsyslogd这个基本的daemon的启动脚本设置,在syslog日志文件设计指引下的要求完成。
logrotate,主要进行日志文件的轮询功能。
日志记录分时间,主机名,服务,实际内容栏,日志服务器可以收集来自其他服务器的日志文件数据。
rsylogd针对的各种服务记录日志的配置文件位置在:/etc/rsyslog.conf文件中,规定了服务,记录等级,记录的位置。
Linux内核的syslog函数自行制定了如下的服务:软件开发商调用syslog中的函数完成所需的功能。
等级记录的划分如下,除了如下的划分,还有none(不需登录等级)。应该在debug之上。
rsyslog.conf的信息等级还有相应的符号,
.表示相同或更严重的等级进行记录,.表示相同的等级记录下来,.表示不等于该等级的其他等级记录。
信息放置的位置为:文件路径(绝对路径)、打印机、用户、远程主机、目前在线的所有人。
如果内核产生的信息发送到终端:kern.* /dev/console
在该文件中,所有最紧急的信息会广播给所有系统登录的账户。在邮件系统的-表示日志产生在内存中,当数据量足够大以后一次写入到硬盘。
包括用户自定义的日志在内,写入到/etc/rsyslog.conf文件中,完成记录位置设置。
rsyslogd的日志文件只要被编辑过就无法继续记录,需要重启rsyslog.service才能继续提供服务。
让日志通过chattr设置,a属性,保护日志只能增加数据而无法删除数据或者修改文件名:chattr +a /var/log/admin.log
重要数据通过打印机打印出来。
CentOS7默认的rsyslogd本身基友日志文件服务器的功能,使用端口UDP514或TCP514
设置时在服务器端修改/etc/rsyslog.conf文件中,取消ModLoad和InputTCPServerRun之类的注释保存,然后通过systemctl命令,重启rsyslog.service,通过netstat观察状态。
在客户端,修改/etc/rsyslog.conf中,增加*。* @@192.168.xxx.xxx之类,重启服务。
日志文件的轮询logrotate,挂在cron下面进行,在/etc/cron.daily/logrotate中记录了该日志文件的轮询操作。
/etc/logrotate.conf是主要的参数,/etc/logrotate.d则是一个目录,被/etc/logrotate.conf引用,在/etc/logrotate.d中没有规定的详细设置,使用/etc/logrotate.conf中的设置。
日志文件轮询后的文件名可能会加上时间参数或一般会加上.n数字,便于轮询。
硬盘空间小可以选择压缩文件进行的日志存储。
在/etc/logrotate.d/的文件,数据内容分为,文件名,参数{参数内容},参数内容为执行脚本。
执行脚本中,prerotate表示在启动logrotate之前完成的命令,postrotate在做完logrotate之后启动的命令。用sharedscript对应endscript。
修改脚本在执行前去掉隐藏属性a,在结束前恢复隐藏属性a,以保护,并可以修改日志文件。
强制执行logrotate操作:logrotate -vf /etc/logrotate.conf进行轮询,ll /var/log/messages*;查看
创建自定义的日志轮询,通过在/var/log目录下,建立自己的日志文件,增加a隐藏属性,之后
在/etc/logrotate.d/中,建立自定义的配置文件(注意文件的隐藏属性问题),然后保存。通过手动执行logrotate,进行测试。
systemd被内核唤醒后,通过调用systemd-journald来协助记录日志文件,管理查询登录信息。
该日志数据在内存中,以文件的形式记录在/run/log下。
查看systemd-journald数据,通过journalctl命令查看。-p显示后接的重要性排序(信息等级),-n条数,其他部分选项如下折叠:
1 --since --until:设定开始与结束的时间,让在该期间的数据输出而已 2 _SYSTEMD_UNIT=unit.service :只输出 unit.service 的信息而已 3 _COMM=bash :只输出与 bash 有关的信息 4 _PID=pid :只输出 PID 号码的信息 5 _UID=uid :只输出 UID 为 uid 的信息
如显示目前系统中所有的journal日志数据:journalctl
列出昨天和今天的数据:journalctl --since yesterday --until today
如找出crond.service数据,并只列出10条:journalctl _SYSTEMD_UNIT=crond.service -n 10
等
将自定义数据存入日志文件中,使用logger命令。-p接信息等级。
如传入用户的信息:logger -p user.info "this message"
查询:journalctl SYSLOG_FACILITY=1 -n 3
systemd-journald.service的配置文件主要参考/etc/systemd/journald.conf的内容。
在/var/log/journal目录,建立该文件夹,设置合适的文件夹权限,重启 systemd-journald.service服务,即可完成备份。
通过CentOS的logwatch安装,可以查看日志分析文件,需要安装。
安装完成以后,会写入到cron的执行列表,直接执行/etc/cron.daily/01logwatch,会发送邮件给root。可以查看!
关于自己写日志分析工具,算了以后吧,也许没有以后但是就这样吧...啊我没安装上。