# 简介
# 日志服务
在 centos6.x 中日志服务已经由 rsyslogd 取代了原先的 syslogd 服务。rsyslogd 日志服务更加先进,功能更多。但是不论该服务的使用,还是日志文件的格式其实都是和 syslogd 服务相兼容的,所以学习起来基本和 syslogd 服务一致。
rsyslogd 的新特点:
- 基于 TCP 网络协议传输日志信息;
- 更安全的网络传输方式;
- 有日志消息的及时分析框架;
- 后台数据库;
- 配置文件中可以写简单的逻辑判断;
- 与 syslog 配置文件相兼容;
确定服务启动
[root@core-pods-3 ~]# ps aux | grep rsyslogd | |
root 14900 0.0 0.9 253384 9292 ? Ssl Jul26 1:43 /usr/sbin/rsyslogd -n | |
root 17795 0.0 0.2 112824 2280 pts/1 S+ 09:04 0:00 grep --color=auto rsyslogd | |
[root@core-pods-3 ~]# systemctl list-unit-files | grep rsysl # 查看是否自启动,centos7,6 是 chkconfig --list | |
rsyslog.service enabled |
# 常见日志的作用
| 日志文件 | 说明 |
|---|---|
| /var/log/cron | 记录了系统定时任务相关的日志 |
| /var/log/cups/ | 记录打印信息的日志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信息。也可以使用 dmesg 命令直接查看内核自检信息 |
| /var/log/btmp | 记录错误登录的日志,这个文件是二进制文件,不能 vi 直接查看,而要使用 lastb 命令查看,命令如下 lastb ,如果有人在暴力破解登录,可以查到记录 |
| /var/log/lastlog | 记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件,不能直接 vi,要使用 lastlog 命令查看 |
| /var/log/mailog | 记录邮件信息 |
| /var/log/message | 记录系统重要信息的日志。这个日志文件中会记录 linux 系统的绝大多数重要信息,如果系统出现问题,首先要检查的就应该是这个日志文件 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。比如说系统的登录,ssh 的登录,su 切换用户,sudo 授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。 |
| /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接 vi,而需要使用 last 命令来查看 |
| /var/run/utmp | 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样这个文件不能直接 vi,而要使用 w,who,users 等命令来查询。 |
除了系统默认的日志之外,采用 rpm 方式安装的系统服务也会默认把日志记录在 /var/log/ 目录中(源码包安装的服务日志是在源码包指定目录中)。不过这些日志不是有 rsyslogd 服务来记录和管理的,而是各个服务使用自己的日志管理文档来记录自身日志。比如:
| 日志文件 | 说明 |
|---|---|
| /var/log/httpd/ | RPM 包安装的 apache 服务的默认日志目录 |
| /var/log/mail/ | RPM 包安装的邮件服务的额外日志目录 |
| /var/log/samba/ | RPM 包安装的 samba 服务的日志目录 |
| /var/log/sssd/ | 守护进程安全服务目录 |
# rsyslogd 服务
# 日志文件格式
基本日志格式包含以下四列:
- 事件发生的事件;
- 发生事件的服务器的主机名;
- 产生事件的服务名或程序名;
- 事件的具体信息;
# /etc/rsyslog.conf 配置文件
authpriv.* /var/log/secure | |
# 格式:服务名称 [连接符号] 日志等级 日志记录位置 | |
# 例子:认证相关服务。所有日志等级 记录在 /var/log/secure 日志中 |
下面解释上面格式里的各个部分:
- 服务名称
| 服务名称 | 说明 |
|---|---|
| auth | 安全和认证相关消息(不推荐使用 authpriv 替代) |
| authpriv | 安全和认证相关消息(私有的) |
| cron | 系统定时任务 cront 和 at 产生的日志 |
| daemon | 和各个守护进程相关的日志 |
| ftp | ftp 守护进程产生的日志 |
| kern | 内核产生的日志(不是用户进程产生的) |
| local0 - local7 | 为本地使用预留的服务 |
| lpr | 打印产生的日志 |
| 邮件收发信息 | |
| news | 与新闻服务器相关的日志 |
| syslog | 有 syslogd 服务产生的日志信息(虽然服务名称已经改为 rsyslogd,但是很多配置都还是沿用了 syslogd 的,这里并没有修改服务名) |
| user | 用户等级类别的日志信息 |
| uucp | uucp 子系统的日志信息,uucp 是早期 linux 系统进行数据传递的协议,后来也常用在新闻组服务中 |
连接符号
连接符号可以识别为:
“.”代表只要比后面的等级高的(包含该等级)日志都记录下来。比如:“cron.info” 代表 cron 服务产生的日志,只要之日等级大于等于 info 级别,就记录“.=”代表只记录所需等级的日志,其他等级的日志都不记录。比如:“*.=emerg” 代表人和日志服务产生的日志,只要等级是 emerg 等级就记录。这种用法极少见,了解就好“.!”代表不等于,也就是除了该等级的日志外,其他等级的日志都记录
“*”代表所有日志等级,比如:“authpriv.*” 代表 authpriv 认证信息服务产生的日志,所有的日志等级都记录
日志等级
| 等级名称 | 说明 |
|---|---|
| debug | 一般的调试信息说明 |
| info | 基本的通知信息 |
| notice | 普通信息,但是有一定的重要性 |
| warning | 警告信息,但是还不会影响到服务或系统的运行 |
| err | 错误信息,一般达到 err 等级的信息以及可以影响到服务或系统的运行了 |
| crit | 临界状况信息,比 err 还要严重(critical) |
| alert | 警告状态信息,比 crit 还要严重。必须立即采取行动 |
| emerg | 疼痛等级信息,系统已经无法使用了(emergency) |
日志记录位置
- 日志文件的绝对路径,如 “/var/log/secure”
- 系统设备文件,如 “/dev/lp0”
- 转发给远程主机,如 “@192.168.0.210:513”
- 用户名,如 “root”
- 忽略或丢弃日志,如 “~”
# 日志轮替
# 说明
- 日志切割:把大日志按照固定规则拆分成小日志,比如按天记录。apache 自带切割功能,但是不支持轮替
- 日志轮替:把旧的日志删除,比如只记录最近 30 天的日志,
# 日志文件的命令规则
如果配置文件中拥有 “dateext” 参数,那么日志会用日期来作为日志文件的后缀,例如 “secure-20130605”。这样的话日志文件名不会重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可。
如果配置文件中没有 “dateext” 参数,那么日志文件就需要进行改名了。当第一次进行日志轮替时,当前的 “secure” 日志会自动改名为 “secure.1”,然后新建 “secure” 日志,用来保存新的之日。当第二次进行日志轮替时,“secure.1” 会自动改名为 “secure.2”,当前的 “secure” 日志会自动改名为 “secure.1”,然后也会新建 “secure” 日志,用来保存新的日志,以此类推。
现在一般配置文件里都加了 “dateext” 参数。
# logrotate 配置文件
| 参数 | 参数说明 |
|---|---|
| daily | 日志的轮替周期是每天 |
| weekly | 日志的轮替周期是每周 |
| monthly | 日志的轮替周期是每月 |
| rotate 数字 | 保留的日志文件的个数。0 指没有备份 |
| compress | 日志轮替时,旧的日志进行压缩 |
| create mode owner group | 建立新日志,同时指定新日志的权限与所有者和所属组。如 create 0600 root utmp |
| mail address | 当日志轮替时,输出内容通过邮件发送到指定的邮件地址。如 mail jasu@cis.com |
| missingok | 如果日志不存在,则忽略该日志的警告信息 |
| notifempty | 如果日志为空文件,则不进行日志轮替 |
| minsize 大小 | 日志轮替的最小值。也就是日志一定要达到这个最小值才会轮替,否则就算事件达到也不轮替 |
| size 大小 | 日志只有大于指定大小才进行日志轮替,而不是按照事件轮替。如 size 100k |
| dateext | 使用日期作为日志轮替文件的后缀。如 secure-20130605 |
# 把 apache 日志加入轮替
只有源码包安装的服务需要手动做轮替,rpm 包安装的通常已经默认配置好轮替。
[root@core-pods-3 ~]# vi /etc/logrotate.conf
/usr/local/apache2/logs/access_log {
daily
create
rotate 30
}
[root@core-pods-3 ~]# ll /etc/logrotate.d
total 40
-rw-r--r-- 1 root root 91 Sep 30 2020 bootlog
-rw-r--r-- 1 root root 160 Sep 19 2018 chrony
-rw-r--r-- 1 root root 93 Apr 28 2021 firewalld
-rw-r--r-- 1 root root 194 Jan 7 2022 httpd
-rw-r--r-- 1 root root 810 Oct 1 2020 mariadb
-rw-r--r-- 1 root root 261 Oct 18 2021 nginx
-rw-r--r-- 1 root root 136 Feb 27 2020 ppp
-rw-r--r-- 1 root root 224 Jan 13 2022 syslog
-rw-r--r-- 1 root root 100 Mar 16 2021 wpa_supplicant
-rw-r--r-- 1 root root 103 Oct 1 2020 yum
# logrotate 命令
命令是 logrotate [选项] 配置文件名 ,如果此命令没有选项,则会按照配置文件中的条件进行日志轮替,选项有:
- -v:显示日志轮替过程。加了 - v 选项,会显示日志的轮替的过程
- -f:强制进行日志轮替。不管日志轮替的条件是否已经符合,强制配置文件中所有的日志进行轮替
[root@core-pods-3 ~]# logrotate -v /etc/logrotate.conf | |
[root@core-pods-3 ~]# logrotate -f /etc/logrotate.conf # 此时会看到日志 rotate 结果 |
# 附录
# 定期删除日志方案
设置 linux crontab 定时任务,定时执行 shell 脚本检测磁盘使用率,通过判断使用率进行日志删除并告警(告警这里走的是 python)
# crontab -e, for trigger | |
0 1,7 * * * /bin/bash /opt/monitor_scripts/disk_monitor.sh |
# Description: statistics disk usage, if usage>90 then delete the log before 90 days and alert. | |
# Author: Jalen | |
rate=$(df -h | grep "/dev/mapper/wcx_vg-opt" | awk '{print $5}' | cut -d "%" -f 1) | |
if [ $rate -ge 90 ] | |
then | |
msg="Warning! server 305 disk high usage! now is ${rate}%!" | |
echo $msg | |
find /opt/logs_backup/ -mtime +90 -exec rm -rf {} \; | |
/opt/venv/bin/python /opt/project/disk_monitor.py "$msg" | |
fi |
# python script: send alert | |
import sys | |
from config import NewConfig | |
from dashboard.bot import botcommon | |
if __name__ == '__main__': | |
print("Send Alert") | |
message = sys.argv[1] | |
print(f"The message is {message}") | |
room_id = NewConfig.MSG_ROOM | |
print(f"The room id is {room_id}") | |
botcommon.send_text_to_spark_room(message, room_id) |
