每天學習Linux——日志管理
今天繼續昨天的日志學習,主要學習了鳥哥私房菜的日志管理那一塊的内容,現在學習總結如下:
1、日志檔案内容的一般格式
(1)事件發生的日期與時間;
(2)發生此事件的主機名;
(3)啟動此事件的服務名稱或函數名稱;
(4)該資訊的實際資料内容。
例如:Mar 14 15:38:00 www atd[18701]: pam_unix(atd:session) : session opened for user root by (uid=0)
在3月14日(Mar 14)的下午15:38分,由www這台主機的atd[PID為18701]傳來的消息,這個消息是通過pam_unix這個子產品所提出的,資訊内容為root(uid=0)這個賬号已經開啟atd的活動了。
2、syslog的配置檔案:/etc/syslog.conf
/etc/syslog.conf這個檔案規定了什麼服務的什麼等級資訊以及需要被記錄在哪裡這三個東西,設定的文法如下:
#下面以mail這個服務産生的info等級為例:
mail.info /var/log/maillog_info
資訊等級一共有7級,分别為:info、notice、warning、err、crit、alert和emerg,從左向右等級越來越嚴重,
等級前的連結符号的意義為:
“.”代表比後面還要高的等級都被記錄下來的意思。例如:mail.info代表隻要是mail的資訊,而且等級要高于info(含info本身)時,就會 被記錄下來。
“.=”代表所需要的等級就是後面接的等級而已,其它的不要。
“.!”代表不等于,即是除了該等級外的其它等級都要記錄。
當用vim /etc/syslog.conf指令進入syslog.conf檔案進行修改後,要記得用指令/etc/init.d/syslog restart重新啟動syslog。
3、日志檔案的安全性設定
有時候莫名其妙的日志就不記錄了,可能是因為在離開日志檔案時用了“wq”指令,syslog的日志檔案隻要“被編輯過”就無法繼續記錄了,所有才會導緻這個問題。這個時候要記得重新開機syslog,讓它繼續提供服務。
4、日志檔案的輪替
日志檔案的輪替是由logrotate的配置檔案決定的,配置檔案在/etc/logrotate.conf和/etc/logrotate.d/中。
日志檔案的輪替一般是這樣一個過程,開始第一個檔案messages,當符合輪替要求是,就會将這個檔案變為messages.1,然後建立一個
messages檔案,當再符合輪替要求是,messages.1就會變為messages.2,然後messages再變為messages.1,最後建立一個messages。
用vim /etc/logrotate.conf指令進入logrotate的配置檔案後,會看到大概如下的格式的内容:
#下面的設定是logrotate的預設設定值,如果個别的檔案設定了其它的參數,則将以個别的檔案設定為主
weekly #預設每周對日志檔案進行一次rotate的工作
rotate 4 #保留4個日志檔案(就是隻保留4個,輪替多出來的就會被删除)
create #由于日志檔案被重命名,是以建立一個新的日志檔案
#compress #被改動的日志檔案是否要壓縮
include /etc/logrotate.d
#将/etc/logrotate.d/這個目錄中的所有檔案都讀進來執行rotate的工作。
/var/log/wtmp{ #僅針對/var/log/wtmp所設定的參數
monthly #每個月一次,替代每周
minsize 1M #檔案容量一定要超過1MB後才進行rotate(略過時間參數)
create 0664 root utmp #指定建立檔案的權限與所述賬号
rotate 1 #僅保留一個檔案,即wtmp.1
}
以上就是日志管理的一些基本操作,比如當檢視伺服器時,找不到要找的日志了,就可以看看日志的配置檔案,看看把日志存放到什麼目錄了。比如擔心入侵,就可以将日志備份到其它伺服器上,并且多保留一個日志檔案,以便檢視。
發表于
2014-10-30 11:08
唐小狼
閱讀(352)
評論(0)
編輯
收藏
舉報