Linux系统日志管理.docx

文档模板01文档副标题系统日志讲解Version 1.02015-03-01DEV-07-0018Copyright2015 ZTEsoft Integration Runtime Environment日期编写/修改人版本记录2015-03-01IREVer 1.0创建日期审阅人版本密级状态意见2015-03-05IREVer 1.0内部公开发布无审阅文档控制页面编写/修改1 日志文件概述就是记录系统活动记录的文件，如何时，何地，何人，做了是么事情，另外就是系统在是么时候有事么样的行为，发生了是么事件。2 重要的功能： 解决系统故障：这个对系统管理员来说很重要，如启动过程中检测到的硬件数据都会内存中，由于这些检测的信息可以让我们了解硬件，人所以系统发生问题时，可以执行dmesg命令来查看硬件是否出错。另外就是如果系统出现了系统资源被耗尽，核心活动发生错误，等都可能，则系统登录文件也会将错误信息记录到登陆文件，通常就是/var/log/messages,这些可以帮助你解决问题。 解决网络问题在安装设置新服务套件时，最常用到这个功能。例如安装sendmail和postfix服务时也会用到。如无法发送邮件等问题，那么这些问题就将记录在登录文件中，只要分析登录文件就可以解决问题的确切位置了，并能很好的解决。 记录登陆信息：例如apache这个www服务死机了，怎么知道死机。最后的登陆者是谁，这样可以通过分析apache的登陆文件获取信等问题。3 常见日志文件： /var/log/secure ：记录登陆系统访问数据文件，例如pop3 ssh,telnet,ftp 等都会记录在此文件中。 /var/log/wtmp:记录登陆者的信息数据，由于本文件已经编码了，必须通过last命令来完成查看其内容 /var/log/messages 这个文件相当重要，只要是系统信息都会记录到这个文件中 /var/log/boot.log 记录开机或一些服务启动时所显示的启动和关闭信息 /var/log/maillog 或者/var/log/mail/* 记录邮件访问或者往来的用户记录(sendmail postfix) /var/log/cron 这个主要记录crontab例行性服务的内容 /var/log/httpd,/var/log/news,/var/log/mysqld.log,/var/log/samba,/var/log/procmail.log分别是几个网络记录文件。4 日志轮替如果登陆文件太长，写入效率会很低，这是因为文件太大时，ascii格式的数据文件写入比较麻烦。如何进行登陆文件数据的备份工作了，使用logrotate。将数据进行轮转（rotate）,也可以称为轮替。Logrotate 就是将旧文件的日志记录更改名称，然后建立一个空的登陆文件，新的登陆文件从零开始记录，然后只讲旧的文件保留一段时间，就可以达到日志的轮替的目的了针对登陆文件的设计的服务有：Rsyslogd：记录系统或者是网络服务的登陆文件Logrotate：将旧的数据文件更名，并且建立新的登陆文件，以保持登陆文件全新，并且设置将旧的文件删除。5 Logger就是用来测试系统日志服务的。首先介绍安装日志软件包 安装完成后来检查一下rsyslogd服务是否启动设置为开机自启动2345开启。启动该服务该服务不是用端口日志文件的记录的一般格式一般来说，经过syslog记录下来的数据主要有：事件发生的日期，发生此事件的主机名称，启动此事件的服务名称或者函数名称，该消息的数据内容。操作演示5.1 查看/var/log/secure这些信息的详细程度是可以修改的，而且这些信息可以有利于排错。下面我们来看一下安全相关的日子文件/var/log/secure5.2 /var/log/messages最重要的就是/var/log/messages 这个文件当你觉得系统不正常时某个守护程序总是无法启动某个用户总是无法登陆某个守候程序的执行过程总是不顺畅就需要查看这个/var/log/messages这个文件下面来看syslog的配置文件rootrhelserver # vim /etc/rsyslog.conf #rsyslog v3 config file# if you experience problems, check# /troubleshoot for assistance# MODULES #$ModLoad imuxsock.so # provides support for local system logging (e.g. via logger command)$ModLoad imklog.so # provides kernel logging support (previously done by rklogd)#$ModLoad immark.so # provides -MARK- message capability# Provides UDP syslog reception#$ModLoad imudp.so#$UDPServerRun 514# Provides TCP syslog reception#$ModLoad imtcp.so #$InputTCPServerRun 514# GLOBAL DIRECTIVES # Use default timestamp format$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat# File syncing capability is disabled by default. This feature is usually not required, # not useful and an extreme performance hit#$ActionFileEnableSync on# RULES # Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.* /dev/console# Log anything (except mail) of level info or higher.# Dont log private authentication messages!*.info;mail.none;authpriv.none;cron.none /var/log/messages# The authpriv file has restricted access.authpriv.* /var/log/secure# Log all the mail messages in one place.mail.* -/var/log/maillog# Log cron stuffcron.* /var/log/cron# Everybody gets emergency messages*.emerg * *代表当前所有人# Save news errors of level crit and higher in a special file.uucp,news.crit /var/log/spooler# Save boot messages also to boot.loglocal7.* /var/log/boot.log# # begin forwarding rule # The statement between the begin . end define a SINGLE forwarding# rule. They belong together, do NOT split them. If you create multiple# forwarding rules, duplicate the whole block!# Remote Logging (we use TCP for reliable delivery)# An on-disk queue is created for this action. If the remote host is# down, messages are spooled to disk and sent when it is up again.#$WorkDirectory /var/spppl/rsyslog # where to place spool files#$ActionQueueFileName fwdRule1 # unique name prefix for spool files#$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown#$ActionQueueType LinkedList # run asynchronously#$ActionResumeRetryCount -1 # infinite retries if host is down# remote host is: name/ip:port, e.g. :514, port optional#*.* remote-host:514# # end of the forwarding rule # /etc/rsyslog.conf文件的语法服务名称.=!信息等级 信息记录的文件名或者设备或者主机例例如M -/var/log/maillogrsyslog 主要识别的服务常见的有auth.authpriv 主要是与认证机制有关，例如telnet,login，ssh等需要认证的服务都是用此机制cron:与例行性命令cron/at有关的信息daemon与守候程序有关的信息kern与核心有关的信息lpr 打印相关的信息mail 邮件收发有关的信息news 与新闻有关的信息rsyslog 就是rsyslogd这个程序本身6 日志告警信息等级信息等级：info ：基本信息的说明notice：比info 更需要注意的一些信息warning 或者warn ：警告信息可能有问题，但还不至于影响到守护程序运行的信息err或则error 一些重大的错误信息crit 比error还严重的错误信息alert 比crit 还严重emerg 或者panic ：疼痛级，基本死机除了这些信息之外，还由两个特殊的等级就是debug错误检测等级，none不需要等级了。要做一些错误检测或者忽略某个信息时，就用他们特别注意的是在信息等级之前还有.=!连接符，他表示. 表示比后面等级还要高的等级都会记录下来.= 表时间所需要的等级就是等号后面的等级，其他不要.=!表示不等于，即出了该等级之外的其他等级都记录一般常用的就是.连接符信息记录的文件名或者配置主机名常见的文位置有文件的绝对路径打印机或者其他用户名远程主机（*） 当前在线的所有人。下面我们自己配置一个指定文件/var/log/fly.log的文件重启动rsyslog服务记录下面的信息登陆文件的安全性设置，我们可以利用文件的隐藏属性，就是之前我们讲过的chattr和lsattr ,如果设置为i参数的话，该文件root也不能 删除，也不能新增数据。但是后面的信息就记录不上了。我们通常用a参数来完成，不可删除，覆盖数据，可以新增数据。想去掉a属性的话就是用chattr a就完成了下面来配置集中日志管理服务器，首先编辑/etc/rsyslog.conf首先我们来查看端口号rsyslog下面开启端口号，开启udp端口号或者tcp端口号，或者同时开启不添加这句话，否则造成日志在服务其上飞速增长*.* 01:514这样服务器端就配置好了重启动服务下面我们来配置客户端5将所有的日志信息都传送到0这台主机注：客户端和服务端的时间最好要一致，两边的端口和使用的传输层协议也要一致。RHEL5.41。客户端客户端服务器上修改/etc/syslog.conf文件，在最后面加上下面的*.* hostname 这里的hostname用服务器的IP地址替换。重启启动服务/etc/init.d/syslog restart2 服务器端在/etc/sysconfig/syslog文件中# Options to syslogd# -m 0 disables MARK messages.# -r enables logging from remote machines# -x disables DNS lookups on messages recieved with -r# See syslogd(8) for more detailsSYSLOGD_OPTIONS=-r -m 0 在这里添加一个-r重启启动服务/etc/init.d/syslog restart使用lsof -i:514 命令来查看rsyslog服务是不是正常侦听端口注意，防火墙配置的时候要开放UDP的514端口7 日志轮循#logrotate 的设置文件既然logrotate 主要针对登陆文件来进行轮替，所以，必须设置在事么状态下才能轮替登陆文件，logrotate程序的参数设置文件在这里#logrotate.conf文件和/etc/logrotate.d目录下的文件Logrotate.conf是主要参数文件，logrotate.d是一个目录，里面所有文件都会主动读取/etc/logrotate.conf中。在/etc/logrotate.d/里面的文件，没有规定到细节设置，以logrotate.conf文件的规定来指定默认值Logrotate的主要功能就是将旧的登陆文件移到旧文件中，并且建立一个新的空文件记录，他的执行结果如下Messages messages.1Messages messages.1-messages.2Messages messages.1-messages.2-messages.3Messages messages.1-messages.2-messages.3-删除我们很清楚的看到第一次轮替后，原来得messages变成为了messages.1而且还产生了一个空文件messages给系统来存储登陆文件，第二次轮替时，messages.1变成为了messages.2，messages变成messages.1，由产生了一个messages来存储登陆文件，。如果仅保留3个登陆文件，那么第四次轮替就删除messages.3这个文件，并且由后面较新的保存登陆文件所替换多长时间轮替一次了，这些记录都会在logrotate.conf中我们来看一下默认的配置文件rootrhelserver etc# vim logrotate.conf # see man logrotate for details# rotate log files weeklyWeekly 表示每周轮替一次# keep 4 weeks worth of backlogsrotate 4 默认保留四个文件# create new (empty) log files after rotating old onesCreate 是否创建一个空的登陆文件# use date as a suffix of the rotated fileDateext 使用日期格式来进行轮替，就是轮替后文件后面带有日期# uncomment this if you want your log files compressed#compress 是否压缩文件# RPM packages drop log rotation information into this directoryinclude /etc/logrotate.d 将下面所有的配置文件都读进来执行轮替工作# no packages own wtmp and btmp - well rotate them here/var/log/wtmp monthly create 0664 root utmp minsize 1M 文件最小1m rotate 1基本上载Logrotate.conf文件中，只有这个数据记载如何进行轮替这个登陆文件记载的就是使用login登入系统时的用户的状态,last就是读取/var/log/wtmp这个数据文件中的数据，这个字段的含义如下：1、 每月轮替一次2、 将文件权限设置为664拥有者为root 用户组为utmp3、 保证前一个月的备份4、 文件最小1m5、 这就是为是么last只显示当前月的数据的原因，因为一月轮替一次/var/log/btmp missingok monthly create 0600 root utmp rotate 1# system-specific logs may be also be configured here.有这个文件我们知道，/etc/logrotate.d其实就是/etc/logrotate.conf所规划的目录。所以我们可以将所有数据文件都写入到/etc/logrotate.conf,不过这样文件会显得太庞大了，尤其是当系统使用很多服务时，每个服务都要去 修改/etc/logrotate.conf的设置这样不合里。如果独立出来的目录，每个都可以以rpm包得方式所建立的服务的登陆文件的轮替设置，就可以独自成为一个文件，并且放到/etc/logrotate.d目录中，这样就比较合理了一般来说/etc/logrotate.conf是默认的轮询状态，我们各自服务可以拥有自己的登陆文件轮替设置，可以修改成为自己的喜欢的方式。/etc/logrotate.d下文件的写法将要处理的文件（包含绝对路径）写在前面，可以使用空格符来分割多个登陆文件用包括所有设置设置的项目与前面的相同，并且可以加入轮替之前pre 或者post轮替之后执行的一些动作和命令。这个设置需要与sharedscripts -endsrcipt设置闭合-prerotate ：在启动logrotate之前执行的命令，例如修改文件属性-postrotate ：在做完logro