【Linux进阶篇】日志系统

本文涉及的产品
运维安全中心(堡垒机),企业双擎版|50资产|一周时长
日志服务 SLS,月写入数据量 50GB 1个月
运维安全中心(堡垒机),免费版 6个月
简介: 【Linux进阶篇】日志系统

日志

日志文件:系统中各个运行消息的文件,不同的日志文件记录了不同类型的信息,如内核消息、错误消息等。

syslog服务:

       syslogd: 系统,非内核产生的信息

       klogd:内核,专门负责记录内核产生的日志信息

分析日志文件: 通过浏览日志查找关键信息,对系统服务进行调试,判断故障发生的原因

分类

内核及系统日志: 数据由系统服务rsyslog统一管理可以根据主配文件/etc/rsyslog.conf中的设置决定内核消息及其各种系统消息的记录位置/var/log/messages

用户日志: 数据用于记录系统用户登录及其退出系统的相关信息,包括用户名、登录终端、 登录时间、来源、使用的进程等等 /var/log/secure

程序日志: 应用程序自己独立管理的一个日志,记录程序本身运行过程中的各种事件信息 /var/log/nginx/access.log /var/log/nginx/error.log

1、内核和系统日志 /etc/rsyslog.conf

mail.notice(举例)

服务.级别 /var/log/messages 内核和大多数系统消息日志位置

消息内容组成 时间:消息发出的时间和日期

主机名:生成消息的计算机的名称

子系统的名称:发出消息的应用程序的名称

消息内容:消息的具体内容

2、用户日志和程序日志

查询当前登录的用户情况:users,who,w

查询用户登录的历史记录:last 成功日志,lastb 失败日志

查看安全日志文件:/var/log/secure

举例:查看/var/log/secure安全日志文件,打开新终端会看到信息。

1. [root@log ~]# tailf /var/log/secure
2. Mar 18 12:18:22 localhost sshd[1689]: Server listening on 0.0.0.0 port 22.
3. Mar 18 12:18:22 localhost sshd[1689]: Server listening on :: port 22.
4. Mar 18 12:18:26 localhost gdm-launch-environment]: pam_unix(gdm-launch-environment:session): session opened for user gdm by (uid=0)

3、程序日志

       例1:httpd 服务的日志文件access_log和error_log分别记录客户访问事件和错误信息 /var/log/httpd/access_log /var/log/httpd/error_log

       例2:nginx服务的日志文件access.log和error.log /var/log/nginx/access.log /var/log/nginx/error.log

       例3:源码安装nginx日志路径 /usr/local/nginx/logs

注意:/var/log/dmesg 系统启动硬件检查日志:直接运行命令 dmesg

常见日志文件

/var/log/boot.log 记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息

/var/log/messages 记录Linux操作系统常见的系统和服务错误信息

/var/log/cron crond 计划任务产生的事件信息

/var/log/dmesg 引导过程中产生的信息

/var/log/maillog 记录电子邮件活动信息

/var/log/lastlog 记录最后一次用户成功登陆的时间、登陆IP等信息

/var/log/secure Linux系统安全日志,记录用户和工作组变化情况、用户登陆认证情况

/var/log/syslog 只记录警告信息,常常是系统出问题的信息,使用lastlog查看

/var/log/wtmp 记录用户登录、注销、系统启动、关键等信息,使用last命令查看

/var/log/btmp 记录失败或者是错误的登录信息和验证 lastb命令查看

/var/run/utmp 该日志文件记录有关当前登录的每个用户的信息。如who、w、users等就需要访问这个文件

日志消息的级别

0 emerg 会导致主机系统不可用的情况

1 alert 必须马上采取措施解决的问题

2 crit 比较严重的情况

3 err 运行出现问题

4 warning 可能影响系统功能,需要提醒用户的重要事件

5 notice 不会影响正常功能,但是需要注意的事件

6 info 一般信息

7 debug 程序或系统调试信息等

8 none 不记录任何日志

rsyslog.conf文件分析

加载模块、转发端口等基本配置

1. [root@log ~]# cat /etc/rsyslog.conf 
2. #省略部分内容
3. #### MODULES #### 
4. # Provides UDP syslog reception 
5. #$ModLoad imudp 
6. #$UDPServerRun 514 
7. 
8. # Provides TCP syslog reception 
9. #$ModLoad imtcp 
10. #$InputTCPServerRun 514
11. #省略部分内容

服务名称

auth        # 认证相关的

authpriv    # 权限,授权相关的

cron        # 任务计划相关的

daemon      # 守护进程相关的

kern        # 内核相关的

lpr         # 打印相关的

mail        # 邮件相关的

mark        # 标记相关的

news        # 新闻相关的

security    # 安全相关的,与auth 类似

syslog      # syslog自己的

user        # 用户相关的

uucp        # unix to unix cp 相关的

local0 到 local7 # 用户自定义使用

*           # *表示所有的facility

配合日志级别举例

1、//mail的info级别以上的信息,记录的位置

mail.info /var/log/mail

2、//只记录info这一个级别。

auth.=info

3、//user的相关信息但不包括error,取反。

user.!=error

4、//所有日志的info以上的信息

*.info

5、//mail的所有级别

mail.*

6、//所有服务的所有级别

*.*

7、//合并日志,写到一块

cron.info;mail.info

action(动作)日志记录的位置

-   //延迟写入,系统不繁忙的时候才写入。

发送邮件,通过什么协议

@@192.168.1.1 TCP

@192.168.1.1 UDP


*号表示所有在线用户

~ 忽略日志

^号后跟可执行脚本或程序的绝对路径


案例:更改系统安全日志secure的记录位置,将secure的位置更改为/usr/local/secure


1. [root@log ~]# vim /etc/rsyslog.conf         #默认57行
2. authpriv.*  /usr/local/secure
3. [root@log ~]# systemctl restart rsyslog
4. [root@log ~]# chattr +a /usr/local/secure

日志的采集

企业环境可以使用ELK,但rsyslog也可以实现日志收集功能

案例环境:将log1的日志发送到log2

log1:192.168.8.2

log2:192.168.8.11

log1:

1. [root@log1 ~]# vim /etc/rsyslog.conf
2.  14 # Provides UDP syslog reception
3.  15 $ModLoad imudp                  #15行删除注释
4.  16 $UDPServerRun 514               #16行删除注释
5.  17 
6.  18 # Provides TCP syslog reception
7.  19 $ModLoad imtcp                  #19行删除注释
8.  20 $InputTCPServerRun 514          #20行删除注释
9. #末尾添加
10.  92 *.* @192.168.8.2                #92行添加
11. [root@log1 ~]# systemctl restart rsyslog            #重启
12. [root@log1 ~]# yum -y install nginx                 #安装nginx

log2:

1. [root@log2 ~]# vim /etc/rsyslog.conf
2.  14 # Provides UDP syslog reception
3.  15 $ModLoad imudp                  #15行删除注释
4.  16 $UDPServerRun 514               #16行删除注释
5.  17 
6.  18 # Provides TCP syslog reception
7.  19 $ModLoad imtcp                  #19行删除注释
8.  20 $InputTCPServerRun 514          #20行删除注释
9. [root@log2 ~]# systemctl restart rsyslog
10. [root@log2 ~]# tailf /var/log/messages

案例2:把nginx的日志发送给log2 log1:

1. [root@log1 ~]# vim /etc/rsyslog.conf
2. $ModLoad imfile 
3. $InputFilePollInterval 1 
4. $InputFileName /var/log/nginx/access.log 
5. $InputFileTag nginx-info-access;
6. $InputFilestateFile state-nginx-info-accesslog 
7. $InputRunFileMonitor
8. $InputFileName /var/log/nginx/error.log 
9. $InputFileTag nginx-info-error; 
10. $InputFilestateFile state-nginx-info-errorlog 
11. $InputRunFileMonitor
12. $InputFilePollInterval 10 
13. if $programname == 'nginx-info-access' then @192.168.8.11:514 
14. if $programname == 'nginx-info-access' then ~ 
15. if $programname == 'nginx-info-error' then @192.168.8.11:514 
16. if $programname == 'nginx-info-error' then ~

参数解释:

//间隔多久采集1次。

默认单位是秒 $InputFilePollInterval 1

//采集的日志的名称

$InputFileName /usr/local/nginx/logs/access.log

//给对应的日志打一个标签

$InputFileTag nginx-info-access;

//给这个日志命名

$InputFilestateFile state-nginx-info-accesslog

//启动监控

$InputRunFileMonitor

日志的切割

为了防止日志文件过大,所以我们要做到日志定期的切割和清理。 logrotate 日志轮替

/etc/logrotate.conf

weekly //切割周期,默认每周

rotate 4 //保留多少个日志文件,那么一周一个,也就是能看到一个月的日志。如果是0就表示不作备份,仅做了一个切割,表示每周清空一下日志。

create //旧日志切割后,源文件是否生成新的日志。这一点就跟脚本切割日志有很大不同的地方。

dateext //切割后,日志的文件类型是什么样?默认是以日期来切割的。

include /etc/logrotate.d //还需要读取这个地方的内容 ,目录里都是其他地方的日志

/var/log/wtmp { //特指某个文件的切割方式,

       monthly //每月切割

       create 0664 root utmp //切割完成之后,这个文件的权 限,以及属主和属组是谁

       minsize 1M //文件超过1M之后才切割,这表示即便过了1个月, 大小没到1M,也不切割

       rotate 1 //保留1个

       }

其他参数:

compress        //压缩,gzip delaycompress   //延迟压缩 nocompress      //不压缩 copytruncate    //先拷贝,再清空。 missingok       //丢了也没关系,热日志会出现中断 ifempty         //即使日志文件为空,到日期也切割 notifempty      //为空者不切割 mail Email      //切割后的日志文件,不在本地保存,发送邮件到其他地方。 nomail          //生成的日志不发送,在本地使用 olddir Directory //另存为的地址,如果不写则默认是在同一个目录下边。 noolddir        //转存文件都保存在本地。 sharedscripts   //运行脚本,为脚本添加的a权限后需要暂时调整权限 postrotate      //切割之后,执行脚本 prefotate       //切割之前,执行脚本时间参数 daily           //每天 weekly          //每周 mounthly        //每月 yearly          //每年 rotate count    //保存几份。 dateext         //使用当前日期。 size(minisize)  //达到多少才切割,默认单位是M,sizeksizem默认单位是kb。size = 5

切割安全日志

1. [root@log1 ~]# vim /etc/rsyslog.conf
2. authpriv.*      /var/log/secure
3. [root@log1 ~]# vim /etc/logrotate.d/secure
4. /var/log/secure { 
5.     missingok 
6.     notifempty 
7.     daily 
8.     create 
9.     rotate 4 
10.     compress 
11. }
12. [root@log1 ~]# useradd zhangsan
13. [root@log1 ~]#  echo 123.com | passwd --stdin zhangsan
14. 更改用户 zhangsan 的密码 。
15. passwd:所有的身份验证令牌已经成功更新。
16. [root@log1 ~]#  su - zhangsan
17. Attempting to create directory /home/zhangsan/perl5
18. [zhangsan@log1 ~]$  exit
19. 登出
20. [root@log1 ~]# tail /var/log/secure
21. #省略部分内容
22. Mar 18 14:31:00 log1 passwd: gkr-pam: couldn't update the login keyring password: no old password was entered
23. Mar 18 14:31:00 log1 su: pam_unix(su-l:session): session opened for user zhangsan by root(uid=0)
24. Mar 18 14:31:07 log1 su: pam_unix(su-l:session): session closed for user zhangsan

手动切割日志

1.  logrotate -vf /etc/logrotate.d/secure
2. ls /var/log/

如果有特殊权限,而每次切割完成之后,都需要重新启动rsyslog服务,需要写脚本支持。

1. /var/log/secure { 
2.     sharedscripts 
3.     prerotate 
4.     /usr/bin/chattr -a /var/log/secure 
5.     endscript 
6.     missingok 
7.     notifempty 
8.     daily 
9.     create 
10.     rotate 4 
11.     compress 
12.     sharedscripts 
13.     postrotate 
14.     /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null 
15.     /usr/bin/chattr +a /var/log/secure 
16.     endscript 
17. }

脚本切割nginx日志

1. [root@log1 ~]# vim /usr/local/nginx/cut_nginx_log.sh
2. #!/bin/bash
3. LOG_PATH=/usr/local/nginx/logs/
4. PID=/var/run/nginx/nginx.pid
5. mv ${LOG_PATH}access.log  ${LOG_PATH}access_$(date +%F).log
6. mv ${LOG_PATH}error.log  ${LOG_PATH}error_$(date +%F).log
7. kill -USR1 `cat ${PID}`
8. [root@log1 ~]# chmod +x /usr/local/nginx/cut_nginx_log.sh
9. [root@log1 ~]# crontab -e
10. 30 23 * * * /bin/bash /usr/local/nginx/cut_nginx_log.sh

案例3:logrotate切割nginx日志

1. [root@log1 ~]# vim /etc/logrotate.d/nginx
2. /var/log/nginx/*.log {
3.     daily
4.     dateext
5.     compress
6.     rotate 7
7.     sharedscripts
8.     postrotate
9. kill -USR1 `cat /var/run/nginx.pid`
10.     endscript
11. }
12. [root@log1 ~]# logrotate -d -f /etc/logrotate.d/nginx
13. #省略部分内容
14. [root@log1 ~]# crontab -e
15. 30 23 * * *  /usr/sbin/logrotate -f /etc/logrotate.d/nginx


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
7天前
|
Linux
在 Linux 系统中,“cd”命令用于切换当前工作目录
在 Linux 系统中,“cd”命令用于切换当前工作目录。本文详细介绍了“cd”命令的基本用法和常见技巧,包括使用“.”、“..”、“~”、绝对路径和相对路径,以及快速切换到上一次工作目录等。此外,还探讨了高级技巧,如使用通配符、结合其他命令、在脚本中使用,以及实际应用案例,帮助读者提高工作效率。
31 3
|
7天前
|
监控 安全 Linux
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景,包括 ping(测试连通性)、traceroute(跟踪路由路径)、netstat(显示网络连接信息)、nmap(网络扫描)、ifconfig 和 ip(网络接口配置)。掌握这些命令有助于高效诊断和解决网络问题,保障网络稳定运行。
26 2
|
17天前
|
Linux 应用服务中间件 Shell
linux系统服务二!
本文详细介绍了Linux系统的启动流程,包括CentOS 7的具体启动步骤,从BIOS自检到加载内核、启动systemd程序等。同时,文章还对比了CentOS 6和CentOS 7的启动流程,分析了启动过程中的耗时情况。接着,文章讲解了Linux的运行级别及其管理命令,systemd的基本概念、优势及常用命令,并提供了自定义systemd启动文件的示例。最后,文章介绍了单用户模式和救援模式的使用方法,包括如何找回忘记的密码和修复启动故障。
39 5
linux系统服务二!
|
17天前
|
Linux 应用服务中间件 Shell
linux系统服务!!!
本文详细介绍了Linux系统(以CentOS7为例)的启动流程,包括BIOS自检、读取MBR信息、加载Grub菜单、加载内核及驱动程序、启动systemd程序加载必要文件等五个主要步骤。同时,文章还对比了CentOS6和CentOS7的启动流程图,并分析了启动流程的耗时。此外,文中还讲解了Linux的运行级别、systemd的基本概念及其优势,以及如何使用systemd管理服务。最后,文章提供了单用户模式和救援模式的实战案例,帮助读者理解如何在系统启动出现问题时进行修复。
38 3
linux系统服务!!!
|
25天前
|
Web App开发 搜索推荐 Unix
Linux系统之MobaXterm远程连接centos的GNOME桌面环境
【10月更文挑战第21天】Linux系统之MobaXterm远程连接centos的GNOME桌面环境
207 4
Linux系统之MobaXterm远程连接centos的GNOME桌面环境
|
26天前
|
运维 监控 Linux
Linux系统之部署Linux管理面板1Panel
【10月更文挑战第20天】Linux系统之部署Linux管理面板1Panel
77 3
Linux系统之部署Linux管理面板1Panel
|
7天前
|
安全 网络协议 Linux
本文详细介绍了 Linux 系统中 ping 命令的使用方法和技巧,涵盖基本用法、高级用法、实际应用案例及注意事项。
本文详细介绍了 Linux 系统中 ping 命令的使用方法和技巧,涵盖基本用法、高级用法、实际应用案例及注意事项。通过掌握 ping 命令,读者可以轻松测试网络连通性、诊断网络问题并提升网络管理能力。
28 3
|
10天前
|
安全 Linux 数据安全/隐私保护
在 Linux 系统中,查找文件所有者是系统管理和安全审计的重要技能。
在 Linux 系统中,查找文件所有者是系统管理和安全审计的重要技能。本文介绍了使用 `ls -l` 和 `stat` 命令查找文件所有者的基本方法,以及通过文件路径、通配符和结合其他命令的高级技巧。还提供了实际案例分析和注意事项,帮助读者更好地掌握这一操作。
29 6
|
10天前
|
Linux
在 Linux 系统中,`find` 命令是一个强大的文件查找工具
在 Linux 系统中,`find` 命令是一个强大的文件查找工具。本文详细介绍了 `find` 命令的基本语法、常用选项和具体应用示例,帮助用户快速掌握如何根据文件名、类型、大小、修改时间等条件查找文件,并展示了如何结合逻辑运算符、正则表达式和排除特定目录等高级用法。
37 6
|
11天前
|
监控 Linux 开发者
如何在 Linux 中优雅的使用 head 命令,用来看日志简直溜的不行
`head` 命令是 Linux 系统中一个非常实用的工具,用于快速查看文件的开头部分内容。本文介绍了 `head` 命令的基本用法、高级用法、实际应用案例及注意事项,帮助用户高效处理文件和日志,提升工作效率。
22 7