日志介绍
日志:
历史事件:时间,地点,人物,事件
日志级别:事件的关键性程度,Loglevel
系统日志服务:
sysklogd :CentOS 5之前版本
syslogd: system application 记录应用日志
klogd: linux kernel 记录内核日志
事件记录格式:
日期时间 主机 进程[pid]: 事件内容
C/S架构:通过TCP或UDP协议的服务完成日志记录传送,将分布在不同主 机的日志实现集中管理
rsyslog
rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。rsyslog守护进程可以被配置成两种环境,一种是配置成日志收集服务器,rsyslog进程可以从网络中收集其它主机上的日志数据,这些主机会将日志配置为发送到另外的远程服务器。rsyslog的另外一个用法,就是可以配置为客户端,用来过滤和发送内部日志消息到本地文件夹(如/var/log)或一台可以路由到的远程rsyslog服务器上。
假定你的网络中已经有一台已经配置好并启动的rsyslog服务器,本指南将为你展示如何来设置CentOS系统将其内部日志消息路由到一台远程rsyslog服务器上。这将大大改善你的系统磁盘空间的使用,尤其是当你还没有一个用于/var目录的独立的大分区。
rsyslog特性:CentOS6和7
多线程
UDP, TCP, SSL, TLS, RELP
MySQL, PGSQL, Oracle实现日志存储
强大的过滤器,可实现过滤记录日志信息中任意部分
自定义输出格式
ELK:elasticsearch, logstash, kibana
非关系型分布式数据库
基于apache软件基金会jakarta项目组的项目lucene
Elasticsearch是个开源分布式搜索引擎
Logstash对日志进行收集、分析,并将其存储供以后使用
kibana 可以提供的日志分析友好的 Web 界面
术语,参见man logger
facility:设施,从功能或程序上对日志进行归类
auth, authpriv, cron, daemon,ftp,kern, lpr, mail, news, security(auth), user, uucp, local0-local7, syslog
Priority 优先级别,从低到高排序
debug, info, notice, warn(warning), err(error), crit(critical), alert, emerg(panic)
参看帮助: man 3 syslog
程序包:rsyslog
主程序:/usr/sbin/rsyslogd
CentOS 6:service rsyslog {start|stop|restart|status}
CentOS 7:/usr/lib/systemd/system/rsyslog.service
配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf
库文件: /lib64/rsyslog/*.so
配置文件格式:由三部分组成
MODULES:相关模块配置 GLOBAL DIRECTIVES:全局配置 RULES:日志记录相关的规则配置
RULES配置格式:facility.priority; facility.priority… target
- facility:设施
*: 所有的facility facility1,facility2,facility3,...:指定的facility列表
- priority:级别
*: 所有级别
none:没有级别,即不记录
PRIORITY:指定级别(含)以上的所有级别
=PRIORITY:仅记录指定级别的日志信息
- target:
文件路径:通常在/var/log/,文件路径前的-表示异步写入 用户:将日志事件通知给指定的用户,* 表示登录的所有用户 日志服务器:@host,把日志送往至指定的远程服务器记录 管道: | COMMAND,转发给其它命令处理
~]# cat /etc/rsyslog.conf |grep -v "^ *$"
################# MODULES #############################################
$ModLoad imuxsock # 为本地系统日志记录提供支持 (e.g. via logger command)
$ModLoad imjournal # 提供对systemd日志的访问
#$ModLoad imklog # 读取内核消息 (the same are read from journald)
#$ModLoad immark # 提供了--MARK--消息功能
# 提供UDP系统日志接收
#$ModLoad imudp
#$UDPServerRun 514
# 提供TCP系统日志接收
#$ModLoad imtcp
#$InputTCPServerRun 514
################# GLOBAL DIRECTIVES ####################################
# 在哪里放置辅助文件
$WorkDirectory /var/lib/rsyslog
# 使用默认的时间戳格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# 文件同步功能默认为禁用。此功能通常不是必需的
#$ActionFileEnableSync on
# 将所有配置文件包含在/etc/rsyslog.d/中
$IncludeConfig /etc/rsyslog.d/*.conf
# 通过本地日志套接字关闭信息接收;本地消息现在通过imjournal检索。
$OmitLocalLogging on
# 文件在日志中存储位置
$IMJournalStateFile imjournal.state
################# RULES ##########################################
#kern.* /dev/console
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
# ### begin forwarding rule #######################################
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g # 1GB的空间限制 (use as much as possible)
#$ActionQueueSaveOnShutdown on # 在关机时将消息保存到磁盘
#$ActionQueueType LinkedList # 异步运行
#$ActionResumeRetryCount -1 # 如果主机停机,无限重试
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ##################################
系统日志
/var/log/secure:系统安装日志,文本格式,应周期性分析
/var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看
/var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看
/var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看
/var/log/dmesg:系统引导过程中的日志信息,文本格式,专用命令dmesg查看
/var/log/messages :系统中大部分的信息
/var/log/anaconda/* : anaconda的日志
journalctl命令
Systemd统一管理所有 Unit 的启动日志。带来的好处就是,可以只用journalctl一个命令,查看所有日志(内核日志和应用日志)
配置文件:/etc/systemd/journald.conf
常用选项:
-k:查看内核日志
-b -0:查看系统本次启动的日志
-b -1:查看上一次启动的日志
--since "2017-01-10" --until "2017-01-11 03:00":查看指定时间的日志
-n 20:显示尾部20行的日志
-f:实时滚动显示最新日志
/usr/sbin/sshd:查看指定服务的日志
/usr/bin/bash:查看某个路径的脚本的日志
_PID=1:查看指定进程的日志
_UID=0:查看指定用户的日志
-u httpd.service:查看某个 Unit 的日志
-u httpd.service -f:实时滚动显示某个 Unit 的最新日志
-p err:查看指定级别及以上的日志
--no-pager:不分页输出
-o json:以 JSON 格式(单行)输出
-o json-pretty:以 JSON 格式(多行)输出,可读性更好
--disk-usage:显示日志占据的硬盘空间
--vacuum-size=1G:指定日志文件占据的最大空间
--vacuum-time=1years:指定日志文件保存多久
logrotate程序
logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除,并创建新的日志文件,称为日志转储或滚动。可以根据日志文件的大小,也可以根据其天数来转储,这个过程一般通过 cron 程序来执行
配置文件:/etc/logrotate.conf 和 /etc/logrotate.d/*
配置文件参数:
compress 通过gzip 压缩转储以后的日志
nocompress 不需要压缩时,用这个参数
copytruncate 用于还在打开中的日志文件,把当前日志备份并截断
nocopytruncate 备份日志文件但是不截断
create mode owner group 转储文件,使用指定的文件模式创建新的日志文件
nocreate 不建立新的日志文件
delaycompress 和 compress 一起使用时,转储的日志文件到下一次转储时才压缩
nodelaycompress 覆盖 delaycompress 选项,转储并压缩
errors address 专储时的错误信息发送到指定的Email 地址
ifempty 即使是空文件也转储,是缺省选项
notifempty 如果是空文件的话,不转储
mail address 把转储的日志文件发送到指定的E-mail 地址
nomail 转储时不发送日志文件
olddir directory 转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统
noolddir 转储后的日志文件和当前日志文件放在同一个目录下
prerotate/endscript 在转储以前需要执行的命令可以放入这个对,这两个关键字必须单独成行
postrotate/endscript 在转储以后需要执行的命令可以放入这个对,这两个关键字必须单独成行
daily 指定转储周期为每天
weekly 指定转储周期为每周
monthly 指定转储周期为每月
size 大小 指定日志超过多大时,就执行日志转储
rotate count 指定日志文件删除之前转储的次数,0 指没有备份,5 指保留5个备份
Missingok 如果日志不存在,提示错误
Nomissingok如果日志不存在,继续下一次日志,不提示错误
验证rsyslog是否安装
~]# rpm -qa | grep rsyslog
rsyslog-8.24.0-16.el7.x86_64
~]# rsyslogd -v
rsyslogd 8.24.0, compiled with:
PLATFORM: x86_64-redhat-linux-gnu
PLATFORM (lsb_release -d):
FEATURE_REGEXP: Yes
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
32bit Atomic operations supported: Yes
64bit Atomic operations supported: Yes
memory allocator: system default
Runtime Instrumentation (slow code): No
uuid support: Yes
Number of Bits in RainerScript integers: 64
See http://www.rsyslog.com for more information.
rsyslog服务实现将日志记录到远程主机
1)rsyslog服务器端配置
~]# vim /etc/rsyslog.conf
#### MODULES ####
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
#### RULES ####
local2.* /data/192.168.130.10-sshd.log
~]# systemctl restart rsyslog
2)客户端,这里以sshd服务为例
~]# vim /etc/ssh/sshd_config #修改sshd记录日志的设施
SyslogFacility local2 #local2为自定义设施
LogLevel INFO
~]# vim /etc/rsyslog.d/sshd.conf
local2.* @@192.168.130.8 #将local2设施的所有级别的日志都发送给0.8主机
~]# systemctl restart sshd
~]# systemctl restart rsyslog
3)测试,在其他客户端ssh登录192.168.130.10sshd服务器,在192.168.130.8日志服务器查看日志
~]# cat /data/192.168.130.8-sshd.log
Jun 24 16:37:30 centos7 sshd[58547]: Accepted password for root from 192.168.130.6 port 52420 ssh2
实现rsyslog将日志记录于MySQL中,并且通过loganalyzer展示数据库中的日志
三台主机
rsyslog ,mysql ,loganalyzer
1) rsyslog(192.168.130.7)
yum install rsyslog-mysql
scp /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql 192.168.30.10:
vim /etc/rsyslog.conf #配置rsyslog服务,将日志保存到Mysql数据库中
#### MODULES
$ModLoad ommysql #模块名
#### RULES ####
*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.30.10(存日志的数据库的IP),Syslog(数据库名),syslog(用户名),centos
2 )mysql(192.168.130.10)
mysql < mysql-createDB.sql
mysql> grant all on Syslog.* to syslog@'192.168.130.%' identified by 'centos';
mysql> flush privileges;
3 )loganalyzer(192.168.130.8)#配置loganalyzer
yum install httpd php php-mysql php-gd #准备需要的软件包
systemctl restart httpd
wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.6.tar.gz
tar xvf loganalyzer-4.1.6.tar.gz
cp -r loganalyzer-4.1.6/src /var/www/html/log
touch /var/www/html/log/config.php #创建文件的目的是授予执行权限
chmod 666 /var/www/html/log/config.php
访问:http://192.168.130.8/log,点击here安装
安装过程:next - next - next - next - Finish!
操作完执行 chmod 644 /var/www/html/log/config.php #回收权限