Linux 第79天 syslog
時間: 20181021
目錄
日誌作用
Rsyslog
配置rsyslog成爲日誌服務器
其它的日誌文件作用
日誌管理命令journalctl
示例:rsyslog將日誌記錄於MySQL中
示例:通過loganalyzer展示數據庫中的日誌
日誌作用:
歷史事件:時間,地點,人物,事件
日誌級別:事件的關鍵性程度,Loglevel
系統日誌服務:
sysklogd:CentOS 5之前版本
syslogd: system application 記錄應用日誌
klogd: linuxkernel 記錄內核日誌
事件記錄格式:
日期時間主機進程[pid]: 事件內容
C/S架構:通過TCP或UDP協議的服務完成日誌記錄傳送,
將分佈在不同主機的日誌實現集中管理
Rsyslog
rsyslog特性:CentOS6和7
多線程
UDP, TCP, SSL, TLS, RELP
MySQL, PGSQL, Oracle實現日誌存儲
強大的過濾器,可實現過濾記錄日誌信息中任意部分
自定義輸出格式
ELK:elasticsearch, logstash, kibana
非關係型分佈式數據庫
基於apache軟件基金會jakarta項目組的項目lucene
Elasticsearch是個開源分佈式搜索引擎
Logstash對日誌進行收集、分析,並將其存儲供以後使用
kibana可以提供的日誌分析友好的Web 界面
facility:設施,從功能或程序上對日誌進行歸類
auth
authpriv
cron
daemon
ftp
kern
lpr
news
security(auth)
user
uucp
local0-local7
Priority 優先級別,從低到高排序
debug
info
notice
warn(warning)
err(error)
crit(critical)
alert
emerg(panic)
參看幫助:man 3 syslog
程序包:rsyslog
主程序:/usr/sbin/rsyslogd
CentOS 6:service rsyslog{start|stop|restart|status}
CentOS 7:/usr/lib/systemd/system/rsyslog.service
配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf
庫文件:/lib64/rsyslog/*.so
配置文件格式:由三部分組成
MODULES:相關模塊配置
GLOBAL DIRECTIVES:全局配置
RULES:日誌記錄相關的規則配置
RULES配置格式:facility.priority; facility.priority… target
facility:
*: 所有的facility
facility1,facility2,facility3,...:指定的facility列表
priority:
*: 所有級別
none:沒有級別,即不記錄
PRIORITY:指定級別(含)以上的所有級別
=PRIORITY:僅記錄指定級別的日誌信息
target:
文件路徑:通常在/var/log/,文件路徑前的-表示異步寫入
用戶:將日誌事件通知給指定的用戶,* 表示登錄的所有用戶
日誌服務器:@host,把日誌送往至指定的遠程服務器記錄
管道:| COMMAND,轉發給其它命令處理
通常的日誌格式:
事件產生的日期時間主機進程(pid):事件內容
如:/var/log/messages,cron,secure等
配置rsyslog成爲日誌服務器
#### MODULES ####
# Provides UDP syslog reception
$ModLoadimudp
$UDPServerRun514
# Provides TCP syslog reception
$ModLoadimtcp
$InputTCPServerRun514
其它的日誌文件作用
/var/log/secure:系統安裝日誌,文本格式,應週期性分析
/var/log/btmp:當前系統上,用戶的失敗嘗試登錄相關的日誌信
二進制格式,lastb命令進行查看
/var/log/wtmp:當前系統上,用戶正常登錄系統的相關日誌信息,
二進制格式,last命令可以查看
/var/log/lastlog:每一個用戶最近一次的登錄信息,
二進制格式,lastlog命令可以查看
/var/log/dmesg:系統引導過程中的日誌信息,文本格式
文本查看工具查看
專用命令dmesg查看
/var/log/messages :系統中大部分的信息
/var/log/anaconda : anaconda的日誌
日誌管理命令journalctl
Systemd統一管理所有Unit 的啓動日誌。帶來的好處就是,可以只用journalctl
一個命令,查看所有日誌(內核日誌和應用日誌)。
日誌的配置文件/etc/systemd/journald.conf
journalctl用法
查看所有日誌(默認情況下,只保存本次啓動的日誌)
journalctl
查看內核日誌(不顯示應用日誌)
journalctl-k
查看系統本次啓動的日誌
journalctl -b
journalctl -b -0
查看上一次啓動的日誌(需更改設置)
journalctl-b -1
查看指定時間的日誌
journalctl --since="2017-10-30 18:10:30"
journalctl --since "20 min ago"
journalctl --since yesterday
journalctl --since "2017-01-10" --until "2017-01-11 03:00"
journalctl --since 09:00 --until "1 hour ago"
顯示尾部的最新10行日誌
journalctl -n
顯示尾部指定行數的日誌
journalctl -n 20
實時滾動顯示最新日誌
journalctl -f
查看指定服務的日誌
journalctl /usr/lib/systemd/systemd
查看指定進程的日誌
journalctl_PID=1
查看某個路徑的腳本的日誌
journalctl /usr/bin/bash
查看指定用戶的日誌
journalctl_UID=33 --since today
查看某個Unit 的日誌
journalctl-u nginx.service
journalctl-u nginx.service--since today
實時滾動顯示某個Unit 的最新日誌
journalctl -u nginx.service-f
合併顯示多個Unit 的日誌
journalctl -u nginx.service -u php-fpm.service --since today
查看指定優先級(及其以上級別)的日誌,共有8級
0: emerg
1: alert
2: crit
3: err
4: warning
5: notice
6: info
7: debug
journalctl-p err -b
日誌默認分頁輸出,--no-pager 改爲正常的標準輸出
journalctl --no-pager
以JSON 格式(單行)輸出(重點)
journalctl-b -u nginx.service-o json
以JSON 格式(多行)輸出,可讀性更好
journalctl-b -u nginx.serviceqq-o json-pretty
顯示日誌佔據的硬盤空間
journalctl--disk-usage
指定日誌文件佔據的最大空間
journalctl --vacuum-size=1G
指定日誌文件保存多久
journalctl --vacuum-time=1years
示例:rsyslog將日誌記錄於MySQL中
(1) 準備MySQL Server
(2) 在mysqlserver上授權rsyslog能連接至當前服務器
GRANT ALL ON Syslog.* TO 'USER'@'HOST' IDENTIFIED BY 'PASSWORD';
(3) 在rsyslog服務器上安裝mysql模塊相關的程序包
yum install rsyslog-mysql
(4) 爲rsyslog創建數據庫及表;
mysql -uUSERNAME -hHOST -pPASSWORD
< /usr/share/doc/rsyslog-7.4.7/mysql-createDB.sql (與上一行爲一條命令)
(5) 配置rsyslog將日誌保存到mysql中
#### MODULES ####
$ModLoadommysql
#### RULES ####
facility.priority:ommysql:DBHOST,DBNAME,DBUSER, PASSWORD
示例:通過loganalyzer展示數據庫中的日誌
(1) 在rsyslog服務器上準備amp或nmp組合
yum install httpdphpphp-mysqlphp-gd
(2) 安裝LogAnalyzer
tar xf loganalyzer-4.1.5.tar.gz
cp -a loganalyzer-4.1.5 /src/var/www/html/loganalyzer
cd /var/www/html/loganalyzer
touch config.php
chmod666 config.php
(3) 配置loganalyzer
systemctlstart httpd.service
http://HOST/loganalyzer
MySQL Native, Syslog Fields, Monitorware
(4) 安全加強
cd /var/www/html/loganalyzer
chmod644 config.php
Logrotate日誌存儲
logrotate 程序是一個日誌文件管理工具。用來把舊的日誌文件刪除,並創建新的日誌
文件,稱爲日誌轉儲或滾動。可以根據日誌文件的大小,也可以根據其天數來轉儲,這
個過程一般通過cron 程序來執行
配置文件是/etc/logrotate.conf
主要參數如下
compress 通過gzip 壓縮轉儲以後的日誌
nocompress 不需要壓縮時,用這個參數
copytruncate 用於還在打開中的日誌文件,把當前日誌備份並截斷
nocopytruncate 備份日誌文件但是不截斷
create mode owner group 轉儲文件,使用指定的文件模式創建新的日誌文件
nocreate不建立新的日誌文件
delaycompress和compress 一起使用時,轉儲的日誌文件到下一次轉儲時才壓縮
nodelaycompress覆蓋delaycompress選項,轉儲並壓縮
errors address 專儲時的錯誤信息發送到指定的Email 地址
ifempty即使是空文件也轉儲,是缺省選項。
notifempty如果是空文件的話,不轉儲
mail address 把轉儲的日誌文件發送到指定的E-mail 地址
nomail轉儲時不發送日誌文件
olddirdirectory 轉儲後的日誌文件放入指定的目錄,必須和當前日
志文件在同一個文件系統
noolddir轉儲後的日誌文件和當前日誌文件放在同一個目錄下
prerotate/endscript在轉儲以前需要執行的命令可以放入這個對,
這兩個關鍵字必須單獨成行
postrotate/endscript在轉儲以後需要執行的命令可以放入這個對,
這兩個關鍵字必須單獨成行
daily 指定轉儲週期爲每天
weekly 指定轉儲週期爲每週
monthly 指定轉儲週期爲每月
size 大小指定日誌超過多大時,就執行日誌轉儲
rotate count 指定日誌文件刪除之前轉儲的次數,0指沒有備份,5指保留5個備份
Missingok如果日誌不存在,提示錯誤
Nomissingok如果日誌不存在,繼續下一次日誌,不提示錯誤