1. 日志介绍
日志文件是重要的信息系统文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮寄相关信息、各种服务相关信息。不仅如此,日志对于安全来说也很重要,它记录了系统每天发生的各种事情,可以通过日志来检查错误发生的原因或者受到攻击时攻击者留下的痕迹。总的来说,日志就是记录重大事件的工具。
Linux 操作系统中常用的日志保存于 /var/log/ 目录中:
- /var/log/boot.log //系统启动日志
- /var/log/cron //记录与系统定时任务相关的日志
- /var/log/cups //记录打印信息的日志
- /var/log/dmesg //记录了系统在开机时内核自检的信息,这些信息也可以直接使用 dmesg 命令来查看
- /var/log/btmp //记录错误登录的日志,该文件为二进制文件,需要使用命令 lastb 查看,不能直接用 vim 查看
- /var/log/lastlog //记录系统中所有用户最后一次登录时间的日志,该文件为二进制文件,要使用命令 lastlog 查看
- /var/log/mailog //记录邮件信息的日志
- /var/log/message //记录系统重要信息的日志,该日志中有着 Linux 中绝大多数重要的信息,如果系统出现问题首先应该检查的就是这个文件
- /var/log/secure //记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录,比如系统登录、ssh 登录、添加用户、修改用户密码等
- /var/log/wtmp //永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件,使用 last 命令查看
- /var/tun/ulmp //记录当前已经登录的用户的信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息,可以使用 w、who、users 等命令查看
2. 日志管理服务 rsyslogd
CentOS 6.x 版本的日志服务是 syslogd;CentOS 7.x 版本的日志服务是 rsyslogd,二者是兼容的。这里使用的 rsyslogd,它的功能更加强大。rsyslogd 其实就是一个后台的程序/服务,来管理和操作系统中的日志。查询 Linux 中的 rsyslogd 服务是否启动使用命令 ps aux | grep "rsyslog" | grep -v "grep";
查询 rsyslogd 服务的自启动状态使用指令 systemctl list-unit-files | grep rsyslog;
3. 配置文件 /etc/rsyslog.conf
需要知道,rsyslogd 管理日志以及各个目录中日志的含义,都是由配置文件【/etc/rsyslog.conf】来规定的。编辑配置文件时的格式为 *.*,第一个 * 代表日志类型,第二个 * 代表日志级别。
| 日志类型 | |
|---|---|
| auth | pam 产生的日志 |
| authpriv | ssh、ftp 等登录信息的信息验证 |
| corn | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| 邮件 | |
| mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unix to nuix copy 主机之间相关的通信 |
| local 1-7 | 自定义的日志设备 |
| 日志级别(从上到下,级别越来越高,记录信息越来越少) | |
|---|---|
| debug | 有调式信息的,日志通信最多 |
| info | 一般信息日志,最常用 |
| notice | 最具重要性的的 普通条件的信息 |
| warning | 警告级别 |
| err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
| crit | 严重级别,组织整个系统或者整个软件不能正常工作的信息 |
| alert | 需要立即修改的信息 |
| emerg | 内核崩溃等重要信息 |
| none | 什么都不记录 |
4. 查看日志文件中的日志
由日志服务 rsyslogd 记录的日志文件格式包含 4 列:
- 产生事件的时间
- 产生事件的服务器的主机名
- 产生事件的服务名或程序名
- 事件的具体信息
如我们查看一下 /var/log/secure 日志;
5. 自定义日志
案例:在 /etc/rsyslog.conf 中添加一个日志文件 /var/log/mjj.log,当有事件发生时,该文件接收信息并保存。
#进入配置文件
[root@majinjian ~]# vim /etc/rsyslog.conf
添加以下代码,意为将所有类型的日志添加至 mjj.log;
wq 保存后创建 mjj.log 文件,此时查看该文件是空的;
[root@majinjian /]# > /var/log/mjj.log
接下来使用命令 reboot 重启系统并扽古,再次查看 mjj.log 文件;
6. 日志轮替
什么是日志轮替
日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧的日志文件超出保存的范围之后就会删除。
CentOS7 使用 logrotate 进行日志轮替管理,若想要改变日志轮替文件名字,修改 /etc/logrotate.conf 配置文件中的 dateext 参数。
- 如果配置文件中有 dateext 参数,那么日志会用日期作为日志文件的后缀,例如 mjj-20220607;这样日志文件名就不会重叠,也就不需要改名了,只需指定日志保存个数,删除多余的日志文件。
- 如果配置文件中没有 dateext 参数,日志文件就需要进行改名了。比如第一次日志轮替时,当前的 mjj 日志会自动改名为 mjj.1,然后新建 mjj 日志,用来保存新的日志,当第二次日志轮替时,mjj.1 自动改名为 mjj.2,当前的 mjj 日志改名为 mjj.1,然后新建 mjj 日志,用于保存新的日志,以此类推。
日志轮替配置文件
/etc/logrotate.conf 文件是 logrotate 的全局配置文件,该文件内容如下:
[root@majinjian logrotate.d]# cat /etc/logrotate.conf
# see "man logrotate" for details
# rotate log files weekly 每周对日志文件进行一次轮替(默认)
weekly
# keep 4 weeks worth of backlogs 共保存四份日志文件,当建立新的文件时旧的会被删除
rotate 4
# create new (empty) log files after rotating old ones 在日志轮替后创建新的空日志文件
create
# use date as a suffix of the rotated file 使用日期作为日志文件名的后缀
dateext
# uncomment this if you want your log files compressed 日志文件是否压缩,若取消注释日志会在转储的同时进行压缩
#compress
# RPM packages drop log rotation information into this directory
# 包含 /etc/logrotate.d 目录中所有的子配置文件,也就是会读取所有文件
include /etc/logrotate.d
# 为某个日志单独设置规则/策略时使用以下语法
# no packages own wtmp and btmp -- we'll rotate them here
/var/log/wtmp {
monthly #每月对日志文件进行一次轮替
create 0664 root utmp #建立新的日志文件,权限是0664,所有者是root,所属组是utmp组
minsize 1M #日志文件最小轮替大小是1M,也就是说日志日志要超过1M才会轮替
rotate 1 #仅保留一个日志备份,也就是说只有wtmp和wtmp.1保留
}
/var/log/btmp {
missingok #如果日志不存在,忽略该日志的警告信息
monthly
create 0600 root utmp
rotate 1
}
# system-specific logs may be also be configured here.
[root@majinjian logrotate.d]#
配置文件中各代码段参数含义
| 参数 | 含义 |
|---|---|
| daily | 日志的轮替周期是每天 |
| weekly | 日志的轮替周期是每周 |
| monthly | 日志的轮替周期是每月 |
| rotate 数字 | 保留的日志文件的个数。0指没有备份 |
| compress | 日志轮替时,旧的日志进行压缩 |
| create mode owner group | 建立新日志,同时指定新日志的权限与所有者和所属组 |
| mail address | 当日志轮替时,输出内容通过邮件发送到指定的邮件地址 |
| missingok | 如果日志不存在,则忽略该日志的警告信息 |
| notifempty | 如果日志为空文件,则不进行日志轮替 |
| minsize大小 | 日志轮替的最小值。也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替 |
| size大小 | 日志只有大于指定大小才进行日志轮替,而不是按照时间轮替 |
| dateext | 使用日期作为日志轮替文件的后缀 |
| sharedscripts | 在此关键字之后的脚本只执行一次 |
| prerotate/endscript | 在日志轮替之前执行脚本命令 |
| postrotate/endscript | 在日志轮替之后执行脚本命令 |
可以单独为某个日志规定策略,也可以把某个日志文件的轮替规则写到 /etc/logrotate.d 目录中,如系统启动日志 boot.log 就是在此目录中:
为自己的日志单独指定轮替规则
在这里我们还是操作呢之前创建的日志文件 mjj.log;
为某个日志文件单独指定轮替规则有两种方式:
- 直接在 /etc/logrotate.conf 配置文件中写入日志的轮替规则。
- 在 /etc/logrotate.d/ 目录中新建该日志的轮替文件并写入轮替规则,因为该目录中的所有子配置文件都被包含于 /etc/logrotate.conf 中,所以也可以把日志加入轮替(推荐)。
接下来我们使用第二种方法为 mjj.log 日志新建轮替文件 mjjlog,并加入自定义的规则;
#创建轮替文件
[root@majinjian logrotate.d]# vim mjjlog
#创建规则
/var/log/mjj.log
{
missingok
daily
copytruncate
rotate 3
notifempty
}
保存后如下,此时该文件就会被全局配置文件所识别,按照指定规则对 mjj.log 日志进行轮替。
日志轮替机制
日志轮替之所以可以在指定的时间备份日志,是因为它依赖系统定时任务。在 /etc/cron.daily/ 目录中有一个文件 logrotate,日志轮替 logrotate 就是通过这个文件依赖定时执行任务的。
查看内存日志
在 Linux 中有一部分日志是先写到内存里的,这些日志是实时变化,跟系统内存相关。每次重启系统内存日志都会被清空。查看内存日志使用指令 journalctl。
- journalctl #查看全部日志
- journalctl -n 3 #查看最新三条日志
- journalctl --since 13:000 --until 15:30 # 查看起始时间到结束时间的日志
- journalctl -p err #报错日志
- journalctl -o verbose #日志详细内容
- journalctl _PID=123 _COMM=sshd #查看包含这些参数的日志
