Linux日志管理：

rsyslog 系统日志管理

logrotate日志轮转

rsyslog部分：

rsyslog是系统专职日志程序，解决绝大部分日志记录，记录系统操作有关的信息。

（此外解决日志的进程除了rsyslog外，还有各类应用程序）

观察rsyslogd程序：

命令：ps aux |grep rsyslogd

[root@localhost ~]# ps aux |grep rsyslogd

root      1049  0.0  0.5 214452  5252 ?        Ssl  21:58  0:00 /usr/sbin/rsyslogd -n

//进程号1049

关于syslogd配置：

相关程序的安装:yum install rsyslog logrotate

启动该程序：systemctl start rsyslog.service

查询：rpm -qc rsyslog

//-q 查询 -c相关的配置文件

其中的rsyslogd程序主配置文件很重要：/etc/rsyslog.conf

观察主配置文件：

tail /etc/rsyslog.conf

rsyslogd主配置文件中，规则：

RULES：生成日志，以及存储日志的策略。

语法结构： 设施FACILITY .级别LEVEL 文件位置FILE

例如：

authpriv.* /var/log/secure（SSH信息）

mail.* -/var/log/maillog（发邮件）

cron.* /var/log/cron（创立任务）

设施类型：

1. LOG_SYSLOG ———–syslogd产生的日志

2. LOG_AUTHPRIV———-安全认证的日志

3. LOG_CRON————–计划任务at || cron的日志

4. LOG_MAIL————- 邮件系统mail subsystem的日志

5. LOG_USER(default)—–客户相关的日志

6. LOG_DAEMON ———–后端进程的日志

7. LOG_FTP ————–FTP产生的日志

8. LOG_KERN————- 内核kernel产生的日志

9. LOG_LPR ————–打印设施产生的日志

级别类型：

（级别又高到低，信息由少到多）

1. LOG_EMERG————-紧急，致命，服务无法继续使用运行,例如配置文件丢失

2. LOG_ALERT————-报警，需要立即解决，例如磁盘空间快满了95%

3.LOG_CRIT—————致命行为

4.LOG_ERR—————-错误行为

5.LOG_WARNNING———–警告信息

6.LOG_NOTICE————-普通，重要的标准信息

7.==LOG_ALERT==———-标准信息

8.LOG_DEBUG————–调试信息

logrorate日志轮转：

在rsyslogd的主配置文件中有：

主文件 /etc/logrorate.conf

子配置文件夹 /etc/logrorate.d

观察主文件和子文件

1|[root@qianfeng ~]# ls /etc/logrotate.conf /etc/logrotate.d/

2|/etc/logrotate.conf

3|/etc/logrotate.d/:

4|acpid cups iscsiuiolog ppp rpm subscription-manager up2date 5|wpa_supplicant

5|conman httpd mgetty psacct setroubleshoot syslog vsftpd.log yum

主配置文件：

=========全局设置==========

weekly        //轮转周期，一周轮转

rotate 4      //保留4份

create        //轮转后创立新文件

dateext      //使用日期作为后缀

compress    //能否压缩

include /etc/logrotate.d //包含该目录下的子配置文件

#对单个日志文件设置

/var/log/wtmp {

monthly    //一月轮转一次

minsize 1M  //最小达到1M才轮转,monthly and  minsize

create 0664 root utmp  //轮转后创立新文件，并设置权限

rotate 1  //保留一份

}