【Linux】日志管理基本使用

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 【Linux】日志管理基本使用

1. 基本介绍

1) 日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。
2) 日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。
3) 可以这样理解:日志是用来记录重大事件的工具

2. 系统常用的日志

  • /var/log/ 目录就是系统日志文件的保存位置

在这里插入图片描述

  • 系统常用的日志

在这里插入图片描述

  • 应用案例

使用 root 用户通过 xshell 登陆, 前两次使用错误的密码,第三次使用正确的密码登录成功
看看在日志文件/var/log/secure 里有没有记录相关信息
在这里插入图片描述

3. 日志管理服务 rsyslogd

  • CentOS7.6 日志服务是 rsyslogd , CentOS6.x 日志服务是 syslogd
  • rsyslogd 功能更强大,rsyslogd 的使用、日志文件的格式 和 syslogd 服务兼容的。
  • 原理示意图

在这里插入图片描述

  • 查询 Linux 中的 rsyslogd 服务是否启动,grep -v 表示反向匹配,从管道符中挑选出不包含 grep 的进程
ps aux | grep "rsyslog" | grep -v "grep" 

在这里插入图片描述

  • 查询 rsyslogd 服务的自启动状态
systemctl list-unit-files | grep rsyslog

在这里插入图片描述

  • 配置文件:/etc/rsyslog.conf
  1. 日志类型分为:

在这里插入图片描述

  1. 日志级别分为:
ebug ##有调试信息的,日志通信最多
info ##一般信息日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等重要信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录信息越来越少
  • 由日志服务 rsyslogd 记录的日志文件,日志文件的格式包含以下 4 列:

1) 事件产生的时间
2) 产生事件的服务器的主机名
3) 产生事件的服务名或程序名
4) 事件的具体信息

  • 日志如何查看实例

查看一下 /var/log/secure 日志,这个日志中记录的是用户验证和授权方面的信息, 分析如何查看
在这里插入图片描述

  • 日志管理服务应用实例

/etc/rsyslog.conf 中添加一个日志文件/var/log/xdr.log,当有事件发送时(比如 sshd 服务相关事件),该文件会接收到信息并保存,演示 重启,登录 的情况,看看是否有日志保存
在这里插入图片描述
*.*表示把所以类型和级别的日志都做记录写进 xdr.log
在这里插入图片描述
重新服务器后

reboot
  • 重新连接 sshd,前两次输错密码,第三次正确输入,查看 sshd 的日志的记录情况
cat xdr.log | grep sshd

在这里插入图片描述

4. 日志轮替

4.1 基本介绍

日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后,就会进行删除。

4.2 日志轮替文件命名

1) centos7 使用 logrotate 进行日志轮替管理,要想改变日志轮替文件名字,通过 /etc/logrotate.conf 配置文件中“dateext”参数:

  1. 如果配置文件中有“dateext”参数,那么日志会用日期来作为日志文件的后缀,例如 :“secure-20220101”。这样日志文件名不会重叠,也就不需要日志文件的改名, 只需要指定保存日志个数,删除多余的日志文件即可。

3) 如果配置文件中没有“dateext”参数,日志文件就需要进行改名了。当第一次进行日志轮替时,当前的“secure”日志会自动改名为“secure.1”,然后新建“secure”日志, 用来保存新的日志。当第二次进行日志轮替时,“secure.1”会自动改名为“secure.2”, 当前的“secure”日志会自动改名为“secure.1”,然后也会新建“secure”日志,用来保存新的日志,以此类推。

4.3 logrotate 配置文件

  • /etc/logrotate.conflogrotate 的全局配置文件
# rotate log files weekly, 每周对日志文件进行一次轮替
weekly
# keep 4 weeks worth of backlogs, 共保存 4 份日志文件,当建立新的日志文件时,旧的将会被删除
rotate 4
# create new (empty) log files after rotating old ones, 创建新的空的日志文件,在日志轮替后
create
# use date as a suffix of the rotated file, 使用日期作为日志轮替文件的后缀
dateext
# uncomment this if you want your log files compressed, 日志文件是否压缩。如果取消注释,则日志会在转储的同时进行压缩
#compress
#RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# 包含 /etc/logrotate.d/ 目录中所有的子配置文件。也就 是说会把这个目录中所有子配置文件读取进来,
#下面是单独设置,优先级更高。
# no packages own wtmp and btmp -- we'll rotate them here
/var/log/wtmp {
    monthly # 每月对日志文件进行一次轮替
    create 0664 root utmp # 建立的新日志文件,权限是 0664 ,所有者是 root ,所属组是 utmp 组
    minsize 1M # 日志文件最小轮替大小是 1MB 。也就是日志一定要超过 1MB 才会轮替,否则就算时间达到
    一个月,也不进行日志转储
    rotate 1 # 仅保留一个日志备份。也就是只有 wtmp 和 wtmp.1 日志保留而已
}
/var/log/btmp {
    missingok # 如果日志不存在,则忽略该日志的警告信息
    monthly
    create 0600 root utmp
    rotate 1
}
  • 参数说明:

在这里插入图片描述

4.4 把自己的日志加入日志轮替

1) 第一种方法是直接在/etc/logrotate.conf 配置文件中写入该日志的轮替策略
2) 第二种方法是在/etc/logrotate.d/目录中新建立该日志的轮替文件,在该轮替文件中写入正确的轮替策略,因为该目录中的文件都会被“include”到主配置文件中,所以也可以把日志加入轮替。
3) 推荐使用第二种方法,因为系统中需要轮替的日志非常多,如果全都直接写入/etc/logrotate.conf 配置文件,那么这个文件的可管理性就会非常差,不利于此文件的维护。
4) 在/etc/logrotate.d/ 配置轮替文件一览
在这里插入图片描述

4.5 应用实例

  • 案例,在/etc/logrotate.conf进行配置, 或者直接在 /etc/logrotate.d/ 下创建文件xdrlog ,编写如下内容,具体轮替的效果可以参考 /var/log 下的 boot.log 情况
/var/log/xdr.log
{
    missingok
    daily
    copytruncate
    rotate 7
    notifempty
}

5. 日志轮替机制原理

  • 日志轮替之所以可以在指定的时间备份日志,是依赖系统定时任务。在 /etc/cron.daily/目录,就会发现这个目录中是有 logrotate 文件(可执行),logrotate 通过这个文件依赖定时任务执行的。

在这里插入图片描述
在这里插入图片描述

6. 查看内存日志

  • journalctl 可以查看内存日志,
  • 常用的指令
journalctl ##查看全部
journalctl -n 3 ##查看最新 3 条
journalctl --since 19:00 --until 19:10:10 #查看起始时间到结束时间的日志可加日期
journalctl -p err ##报错日志
journalctl -o verbose ##日志详细内容
journalctl _PID=1245 _COMM=sshd ##查看包含这些参数的日志(在详细日志查看)
或者 
journalctl | grep sshd
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
3月前
|
存储 监控 安全
在Linux中,如何进行日志审计?
在Linux中,如何进行日志审计?
|
8天前
|
监控 Linux 开发者
如何在 Linux 中优雅的使用 head 命令,用来看日志简直溜的不行
`head` 命令是 Linux 系统中一个非常实用的工具,用于快速查看文件的开头部分内容。本文介绍了 `head` 命令的基本用法、高级用法、实际应用案例及注意事项,帮助用户高效处理文件和日志,提升工作效率。
21 7
|
1月前
|
监控 网络协议 安全
Linux系统日志管理
Linux系统日志管理
42 3
|
1月前
|
监控 Linux 测试技术
Linux系统命令与网络,磁盘和日志监控总结
Linux系统命令与网络,磁盘和日志监控总结
55 0
|
1月前
|
监控 Linux 测试技术
Linux系统命令与网络,磁盘和日志监控三
Linux系统命令与网络,磁盘和日志监控三
38 0
|
3月前
|
缓存 NoSQL Linux
【Azure Redis 缓存】Windows和Linux系统本地安装Redis, 加载dump.rdb中数据以及通过AOF日志文件追加数据
【Azure Redis 缓存】Windows和Linux系统本地安装Redis, 加载dump.rdb中数据以及通过AOF日志文件追加数据
128 1
【Azure Redis 缓存】Windows和Linux系统本地安装Redis, 加载dump.rdb中数据以及通过AOF日志文件追加数据
|
3月前
|
Ubuntu Linux 测试技术
在Linux中,已知 apache 服务的访问日志按天记录在服务器本地目录/app/logs 下,由于磁盘空间紧张现在要求只能保留最近7天的访问日志,请问如何解决?
在Linux中,已知 apache 服务的访问日志按天记录在服务器本地目录/app/logs 下,由于磁盘空间紧张现在要求只能保留最近7天的访问日志,请问如何解决?
|
3月前
|
应用服务中间件 Linux nginx
在Linux中,如何统计ip访问情况?分析 nginx 访问日志?如何找出访问页面数量在前十位的ip?
在Linux中,如何统计ip访问情况?分析 nginx 访问日志?如何找出访问页面数量在前十位的ip?
|
3月前
|
监控 安全 Linux
在Linux中,某个账号登陆linux后,系统会在哪些日志文件中记录相关信息?
在Linux中,某个账号登陆linux后,系统会在哪些日志文件中记录相关信息?
|
3月前
|
运维 监控 Ubuntu
在Linux中,如何查看系统日志文件?
在Linux中,如何查看系统日志文件?