(1)rsyslogd的服务:
查看服务是否启动:ps aux | grep rsyslogd
查看服务是否自启动:chkconfig --list | grep rsyslog
配置文件 : /etc/rsyslog.conf
服务名称 [连接符号] 日志等级 日志记录位置
authpriv.* /var/log/secure
#认证相关服务.所有日志等级 记录在/var/log/secure中
服务名称
auth :安全和认证相关信息
authpriv :安全和认证相关信息,私有的
cron :系统定时任务cront和at产生的日志
daemon :和各个守护进程相关的日志
ftp :ftp守护进程产生的日志
kern :内核产生的日志,不是用户进程产生的
local0-local7 : 为本地使用预留的服务
lpr : 打印产生的日志
mail :邮件收发信息
news :与新闻服务器相关的日志
syslog :syslogd产生的日志
user : 用户等级类别的日志信息
uucp :uucp子系统的日志信息
(2)常见日志的作用
/var/log/cron :记录系统定时任务的相关日志
/var/log/cups/ :记录打印信息的日志
/var/log/dmesg :记录了系统在开机时内核的自检信息
/var/log/btmp :记录错误登录的日志。需用lastb命令查看
/var/log/lastlog :所有用户最后一次登录时间。需用lastb命令查看
/var/log/maillog :记录邮件信息
/var/log/messages :记录系统重要信息,首要查看此日志。
/var/log/secure :记录授权验证方面的信息,只要涉及用户,密码的程序都会记录
/var/log/wtmp :永久记录所有用户的登录注销信息,同时记录系统的启动,关机时间。用last查看
/var/run/utmp :记录当前已经登录的用户信息。只记录当前用户的信息,随着用户的登录注销变化。用w,who,users来查询
rpm包安装的日志在/var/log/中
(3)日志格式
事件产生的时间;
发生事件的服务器主机名;
产生事件的服务名或程序名;
事件的具体信息。
(4)日志轮替
1.日志文件的命名规则
如果配置文件中拥有“dateext”参数,日志就会加上日期,如:log-20160101
如果没有,新的日志名为log,老的自动变为log.1
2.logrotate配置文件
daily :日志轮替周期是每天
weekly :日志轮替周期是每周
monthly :日志轮替周期是每月
rotate n :保留日志文件的个数。0指没有备份
compress :日志轮替时,就日志进行压缩
create mode owner group :建立新日志,并制定新日志的权限与所有者和所属组,如:create 0600 root utmp
mail address :当日志轮替时,输出内容发到邮箱
missingok :日志不存在则忽略该日志的警告信息
notifempty :日志为空则不轮替
minsize 大小:日志轮替最小值,日志达到最小值才轮替,否则到期也不轮替
size 大小 :日志只有大于指定大小才轮替,而不按照时间
dateext :使用日期作为后缀
3.logrotate [选项] 配置文件
-v :显示日志轮替过程
-f :强行进行日志轮替